Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Guía de administración de riesgos de seguridad

Capítulo 4: Evaluación del riesgo

Publicado: 15/10/2004
En esta página
Descripción generalDescripción general
PlaneamientoPlaneamiento
Recopilación de datos facilitadosRecopilación de datos facilitados
Asignación de prioridades a los riesgosAsignación de prioridades a los riesgos
ResumenResumen

Descripción general

El proceso de administración de riesgos global consta de cuatro fases principales: evaluación de riesgos, apoyo a la toma de decisiones, implementación de controles y medición de la efectividad del programa. El proceso de administración de riesgos ilustra el modo en que un programa formal proporciona un método coherente de organización de recursos limitados para afrontar los riesgos en una organización. Las ventajas se aprecian mediante el desarrollo de un entorno de control asequible que afronte y mida el riesgo a un nivel aceptable.

La fase de evaluación de riesgos representa un proceso formal para identificar y asignar prioridades a los riesgos en la organización. El proceso de administración de riesgos de seguridad de Microsoft proporciona indicaciones detalladas acerca de cómo realizar las evaluaciones de riesgos y divide el proceso de la fase de evaluación de riesgos en los tres pasos siguientes:

1.

Planeamiento: establecer las bases para una evaluación de riesgos correcta.

2.

Recopilación de datos facilitados: recopilar información de riesgos mediante los debates sobre riesgos facilitados.

3.

Asignación de prioridades a riesgos: clasificar los riesgos identificados en un proceso coherente y repetible.

El resultado de la fase de evaluación de riesgos es una lista de prioridades de los riesgos que proporciona la información para la fase de apoyo a la toma de decisiones, que se trata en detalle en el capítulo 5, "Apoyo a la toma de decisiones".

En el siguiente diagrama se proporciona un resumen del proceso de administración de riesgos global y se muestra la función de la evaluación de riesgos en el conjunto del programa. También se destacan los tres pasos de la fase de evaluación de riesgos.

Figura 4.1 Proceso de administración de riesgos de seguridad de Microsoft: fase de evaluación de riesgos

Figura 4.1 Proceso de administración de riesgos de seguridad de Microsoft: fase de evaluación de riesgos
Ver imagen a tamaño completo

En esta sección se proporciona un breve resumen de los tres pasos de la fase de evaluación de riesgos, la recopilación de datos facilitados y asignación de prioridades de riesgos. A continuación, se incluyen secciones con tareas específicas para llevar a cabo una evaluación de riesgos real en su entorno.

Planeamiento

El planeamiento correcto de la evaluación de riesgos es fundamental para el éxito de todo el programa de administración de riesgos. Si no se llevan a cabo adecuadamente las tareas de alineación, definición de ámbito y obtención de aceptación de la fase de evaluación de riesgos, se reduce la eficacia de las demás fases del programa global. La elaboración de las evaluaciones de riesgos puede ser un proceso complicado que requiere una inversión importante para llevarlo a cabo. En la siguiente sección de este capítulo se tratan las tareas y las indicaciones fundamentales para el paso de planeamiento.

Recopilación de datos facilitados

Después del planeamiento, el siguiente paso consiste en recopilar la información relacionada con riesgos de los participantes de toda la organización; esta información también se utilizará en la fase de apoyo a la toma de decisiones. Los elementos de datos principales recopilados durante el paso de recopilación de datos facilitados son:

Activos organizativos: cualquier elemento que represente un valor para la empresa.

Descripción de los activos: breve explicación de cada activo, su valor y responsabilidad para facilitar la comprensión común en la fase de evaluación de riesgos.

Amenazas de seguridad: causas o sucesos que pueden afectar negativamente a un activo, representados por su pérdida de confidencialidad, integridad o disponibilidad.

Vulnerabilidades: puntos débiles o ausencia de controles que se pueden aprovechar para atacar un activo.

Entorno de controles actual: descripción de los controles actuales y su eficacia en la organización.

Controles propuestos: ideas iniciales para reducir el riesgo.

El paso de recopilación de datos facilitados representa el grueso de la colaboración e interacción entre grupos durante la fase de evaluación de riesgos. En la tercera sección de este capítulo se tratan las tareas y las indicaciones de recopilación de datos en detalle.

Asignación de prioridades a riesgos

Durante el paso de recopilación de datos facilitados, el equipo de administración de riesgos de seguridad comienza por la clasificación de grandes cantidades de información recopiladas para asignar prioridades a los riesgos. El paso de asignación de prioridades a riesgos es el primero de la fase que implica un elemento de subjetividad. La asignación de prioridades es subjetiva porque, después de todo, el proceso implica esencialmente la predicción del futuro. Debido a que el resultado de la evaluación de riesgos conduce a las inversiones en tecnología de la información (TI), el establecimiento de un proceso transparente con funciones y responsabilidades definidas resulta crucial para obtener la aceptación de los resultados y motivar que se emprendan acciones para mitigar los riesgos. El proceso de administración de riesgos de seguridad de Microsoft proporciona orientación para identificar y asignar prioridades a los riesgos de un modo coherente y repetitivo. Un enfoque abierto y repetitivo ayuda al equipo de administración de riesgos de seguridad a lograr el consenso rápidamente, lo que reduce los posibles retardos provocados por la naturaleza subjetiva de la asignación de prioridades a los riesgos. En la cuarta sección de este capítulo se tratan las tareas y las indicaciones de asignación de prioridades en detalle.

Información necesaria para la fase de evaluación de riesgos

Cada paso de la fase de evaluación de riesgos contiene una lista específica de tareas normativas y la información asociada. La fase en sí misma requiere una base sólida a diferencia de informaciones específicas. Tal como se ha descrito en el capítulo 1, la fase de evaluación de riesgos requiere liderazgo de seguridad materializado en apoyo ejecutivo, aceptación de los participantes y funciones y responsabilidades definidas. En las siguientes secciones se tratan estas áreas en detalle.

Participantes en la fase de evaluación de riesgos

La evaluación de riesgos requiere interacción entre los grupos y que los distintos participantes sean responsables de tareas a lo largo de proceso. Una práctica recomendada para reducir la confusión de funciones en el proceso consiste en notificar las comprobaciones y los balances incorporados en las funciones y responsabilidades de administración. Mientras se está efectuando la evaluación, comunique las funciones que desempeñan los participantes y asegúreles que el equipo de administración de riesgos de seguridad respeta dichos límites. En la siguiente tabla se resumen las funciones y las responsabilidades principales de los participantes en esta fase del proceso de administración de riesgos.

Tabla 4.1: Funciones y responsabilidades en el programa de administración de riesgos

FunciónResponsabilidad

Responsable de negocios

Determina el valor de los activos de negocios.

Grupo de seguridad de información

Determina la probabilidad de repercusión en los activos de negocio.

Tecnología de la información: ingeniería

Diseña las soluciones técnicas y estima los costos de ingeniería.

Tecnología de la información: operaciones

Diseña los componentes operativos de la solución y estima los costos operativos.

Las comprobaciones tácticas y los balances incorporados surgirán durante las siguientes secciones donde se examinan detenidamente los pasos de planeamiento, recopilación de datos facilitados y asignación de prioridades a los riesgos de la fase de evaluación de riesgos.

Herramientas proporcionadas para la fase de evaluación de riesgos

Durante este proceso de evaluación de riesgos se recopilarán datos acerca de los riesgos y, posteriormente, se utilizarán para asignar prioridades a los riesgos. Como ayuda para esta fase se incluyen tres herramientas. Las encontrará en la carpeta Herramientas y plantillas creada al desempaquetar el archivo de almacenamiento que contiene esta guía y sus archivos relacionados.

Plantilla de recopilación de datos (GARSHerramienta1-Herramienta de recopilación de datos.doc). Plantilla para facilitar los debates con el fin de recopilar datos de riesgos.

Lista de valores de activos (SRAPPB.doc). Lista de algunos activos que normalmente se encuentran en las organizaciones.

Plantillas de asignación de prioridades a los riesgos (GARSHerramienta2-Nivel de riesgo de resumen.xls y GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls). Plantillas de Microsoft® Excel para facilitar la asignación de prioridades a los riesgos.

Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Este programa puede ayudarle a planear las actividades de esta fase.

Resultado necesario para la fase de evaluación de riesgos

El resultado de la fase de evaluación de riesgos es una lista con prioridades de los riesgos, incluida la clasificación cualitativa y las estimaciones cuantitativas empleadas en la fase de apoyo a la toma de decisiones que se describe en el siguiente capítulo.

Planeamiento

El paso de planeamiento es, indiscutiblemente, el más importante para garantizar la aceptación y el apoyo de los participantes a lo largo del proceso de evaluación de riesgos. La aceptación de los participantes es crucial porque el equipo de administración de riesgos de seguridad requiere una intervención activa del resto de los participantes. El apoyo también es fundamental porque los resultados de la evaluación pueden influir en las actividades de creación de presupuestos de los participantes si se precisan nuevos controles para reducir el riesgo. Las tareas principales del paso de planeamiento están enfocadas a alinear correctamente la fase de evaluación con los procesos de negocios, definir el ámbito de la evaluación de forma precisa y obtener la aceptación de los participantes. En la siguiente sección se examinan estas tres tareas más detalladamente y trata los factores de éxito relacionados con dichas tareas.

Alineación

Resulta idóneo comenzar la fase de evaluación de riesgos antes del proceso de creación de presupuestos de la organización. La alineación facilita el apoyo ejecutivo y aumenta la visibilidad en la organización y los grupos de TI mientras desarrollan presupuestos para el siguiente ejercicio fiscal. Unos plazos correctos también ayudan a generar consenso durante la evaluación porque permite que los participantes desempeñen funciones activas en el proceso de planeamiento. El grupo de seguridad de información normalmente se considera como un equipo reactivo que interrumpa la actividad de la organización y sorprenda a las unidades de negocio con nuevos errores de control o interrupciones de trabajo. Unos plazos razonables de la evaluación resultan cruciales para generar apoyo y ayudar a la organización a comprender que la seguridad es responsabilidad de todos y que es inherente a la organización. Otra ventaja de efectuar una evaluación de riesgos radica en demostrar que el grupo de seguridad de información se puede considerar un socio proactivo en vez de un mero ejecutor de directivas durante las emergencias. En esta guía se proporciona un calendario de proyecto de ejemplo como ayuda para alinear el proceso de evaluación de riesgos para su organización. Evidentemente, el equipo de administración de riesgos de seguridad no debe retener la información de riesgo mientras se espera el ciclo de creación de presupuestos. La alineación del calendario de la evaluación simplemente es una práctica recomendada aprendida de las evaluaciones efectuadas en el departamento de TI de Microsoft.

Nota: la correcta alineación del proceso de administración de riesgos con el ciclo de planeamiento presupuestario también puede beneficiar a las actividades de auditoría interna o externa; no obstante, la coordinación y la definición del ámbito de las actividades de auditoría quedan fuera del ámbito de esta guía.  

Definición del ámbito

Durante las actividades de planeamiento, articule de forma clara el ámbito de la evaluación de riesgos. Para administrar el riesgo de forma eficaz en la organización, el ámbito de la evaluación de riesgos debe documentar todas las funciones de la organización incluidas en la evaluación de riesgos. Si el tamaño de su organización no permite una evaluación de riesgos en toda la empresa, articule de forma clara las partes de la organización que están dentro del ámbito y defina los participantes asociados. Tal como se ha descrito en el capítulo 2, si su organización no tiene experiencia en los programas de administración de riesgos, puede comenzar a practicar el proceso de evaluación de riesgos con unidades de negocios de las que se tenga un buen conocimiento. Por ejemplo, seleccionar una aplicación de recursos humanos específica o un servicio de TI, como el acceso remoto, puede contribuir a demostrar el valor del proceso y facilitar la creación del impulso para una evaluación de riesgos en toda la organización.

Nota: las organizaciones normalmente no definen de forma precisa el ámbito de una evaluación de riesgos. Defina de forma clara las áreas de la organización que se evaluarán y obtenga la aprobación ejecutiva antes de continuar. El ámbito se debe tratar con frecuencia y comprenderse en todas las reuniones de los participantes a lo largo del proceso.

En el paso de planeamiento también debe definir el ámbito de la evaluación de riesgos. En el sector de la seguridad de la información se utiliza el término evaluación de tantas formas que puede confundir a los participantes sin conocimientos técnicos. Por ejemplo, las evaluaciones de vulnerabilidades se llevan a cabo para identificar la configuración específica de tecnología o puntos débiles operativos. El término evaluación de cumplimiento se puede utilizar para comunicar una auditoría o una medición de los controles actuales según la directiva formal. El proceso de administración de riesgos de seguridad de Microsoft define la evaluación de riesgos como el proceso para identificar y asignar prioridades a los riesgos de seguridad de TI para la organización. Puede ajustar esta definición según resulte adecuado para su organización. Por ejemplo, algunos equipos de administración de riesgos de seguridad también pueden incluir la seguridad del personal en el ámbito de sus evaluaciones de riesgos.

Aceptación de los participantes

La evaluación de riesgos requiere una participación activa de los participantes. Como práctica recomendada, trabaje con los participantes de modo informal y al principio del proceso para garantizar que comprenden la importancia de la evaluación, sus funciones y el compromiso de tiempo que se les ha solicitado. Cualquier responsable de evaluación de riesgos puede indicarle que hay diferencias entre la aprobación del proyecto por parte de los participantes y la aceptación de los participantes del tiempo y la prioridad del proyecto. Una práctica recomendada para solicitar el apoyo de los participantes es vender previamente el concepto y las actividades de la evaluación de riesgos. Esta venta previa puede incluir una reunión informal con los participantes antes de que solicitar un compromiso formal. Haga hincapié en los motivos por los que una evaluación proactiva ayuda al participante a largo plazo mediante la identificación de los controles que pueden evitar las interrupciones derivadas de las incidencias de seguridad en el futuro. La inclusión de incidencias de seguridad anteriores como ejemplos en el debate es un modo eficaz de recordar a los participantes los posibles ataques a la organización.

Nota: para facilitar a los participantes la comprensión del proceso, prepare un breve resumen en el que se indique la justificación y el valor de la evaluación. Comparta el resumen todo lo que pueda. Sabrá que ha sido eficaz cuando vea que los participantes se describen la evaluación entre sí. Este resumen ejecutivo de la guía ofrece un buen punto de partida para comunicar el valor del proceso de evaluación de riesgos.

Preparación para el éxito: definición de expectativas

En una definición de expectativas correcta no se puede exagerar. La definición de expectativas razonables es fundamental si se desea que la evaluación de riesgos tenga éxito, ya que el proceso requiere aportaciones importantes de los distintos grupos que posiblemente representen toda la organización. Además, los participantes tienen que estar de acuerdo y comprender los factores de éxito de su función y del proceso en su conjunto. Si alguno de estos grupos no comprende o participa activamente, la eficacia de todo el programa puede estar en peligro.

Mientras logra el consenso durante el paso de planeamiento, defina las expectativas de las funciones, las responsabilidades y los niveles de participación solicitados de los demás participantes. También debe compartir los retos que entraña la evaluación. Por ejemplo, describa de forma clara los procesos de la identificación y asignación de prioridades a los riesgos para evitar posibles malentendidos.

Aceptación de la subjetividad

Los responsables de negocios a veces se ponen nerviosos cuando un grupo externo (en este caso, el grupo de seguridad de información) predice posibles riesgos de seguridad que puedan afectar a las prioridades fiscales. Puede reducir esta tensión natural si define expectativas para los objetivos del proceso de evaluación de riesgos y para garantizar a los participantes que las funciones y responsabilidades se respetarán a lo largo del proceso. En concreto, el grupo de seguridad de información debe aceptar que los responsables de negocios definan el valor de los activos de negocios. Esto también significa que los participantes deben confiar en la experiencia del grupo de seguridad de información para estimar el riesgo de las amenazas que afectan a la organización. La predicción del futuro es subjetiva por naturaleza. Los responsables de negocios deben reconocer y apoyar el hecho de que el grupo de seguridad de información utilizará su experiencia para estimar las probabilidades de los riesgos. Destaque estas relaciones y exponga las credenciales, experiencia y objetivos compartidos del grupo de seguridad de información y los responsables de negocios.

Después de llevar a cabo el paso de planeamiento, articular las funciones y las responsabilidades y definir correctamente las expectativas, estará preparado para comenzar las acciones de trabajo del proceso de evaluación de riesgos: recopilación de datos facilitados y asignación de prioridades a los riesgos. En las dos secciones siguientes se explican detalladamente estos pasos antes de pasar al capítulo 5 para describir la fase de apoyo a la toma de decisiones.

Recopilación de datos facilitados

En la sección de información general de este capítulo se proporciona una introducción al proceso de evaluación de riesgos, donde se tratan los tres pasos principales: planeamiento, recopilación de datos facilitados y asignación de prioridades a los riesgos. Tras terminar las actividades de planeamiento, se recopilan los datos de riesgo de los participantes de la organización. Esta información se utiliza para identificar y, finalmente, asignar prioridades a los riesgos.

Esta sección está organizada en tres partes. En la primera se describe detalladamente el proceso de recopilación de datos y se centra en los factores de éxito al recopilar la información de riesgos. En la segunda parte se explican los pasos detallados de la recopilación de datos de riesgos mediante las reuniones facilitadas con los participantes con conocimientos técnicos y sin dichos conocimientos. En la tercera parte se describen los pasos para consolidar esta compilación de datos en un conjunto de declaraciones de repercusiones, según lo descrito en el capítulo 3. Para concluir el proceso de evaluación de riesgos, esta lista de declaraciones de repercusiones proporciona la información para el proceso de asignación de prioridades que se explica detalladamente en la siguiente sección.

Claves para el éxito de la recopilación de datos

Puede cuestionar la ventaja de realizar preguntas detalladas de seguridad acerca de los riesgos relacionados con la tecnología de la información a personas sin experiencia profesional. La experiencia obtenida en las evaluaciones de riesgos que se han efectuado en el departamento de TI de Microsoft demuestra que hay un increíble valor en preguntar a los participantes con conocimientos técnicos y sin dichos conocimientos lo que piensan acerca de los riesgos para los activos organizativos que administran. Los profesionales de seguridad de información también deben conocer en detalle las preocupaciones de los participantes para traducir la información acerca de sus entornos en riesgos con prioridades. Las reuniones colaborativas con los participantes les ayudan a entender el riesgo en términos que puedan comprender y valorar. Además, los participantes controlan o influyen en el gasto de TI. Si no comprenden las posibles repercusiones en la organización, el proceso de asignación de recursos es más difícil. Los responsables de negocios también dirigen la cultura de la empresa e influyen en el comportamiento de los usuarios. Esto solo puede constituir una herramienta eficaz al administrar el riesgo.

Cuando se descubren los riesgos, el grupo de seguridad de información requiere el apoyo de los participantes en cuanto a asignación de recursos y el consenso en la definición y asignación de prioridades a los riesgos. Algunos grupos de seguridad de información sin un programa de administración de riesgos proactivo pueden fundamentarse en el miedo para motivar a la organización. En el mejor de los casos, es una estrategia a corto plazo. El grupo de seguridad de información debe aprender a buscar el apoyo de la organización si se desea que el programa de administración de riesgos continúe a lo largo del tiempo. El primer paso para generar este apoyo son las reuniones cara a cara con los participantes.

Generación de apoyo

Los responsables de negocios tienen funciones explícitas en el proceso de evaluación de riesgos. Son los responsables de identificar sus activos organizativos y de estimar los costos de las posibles repercusiones en dichos activos. Si se formaliza esta responsabilidad, el grupo de seguridad de información y los responsables de negocios comparten por igual el éxito de la administración de riesgos. La mayoría de los profesionales de seguridad de información y los participantes sin conocimientos técnicos no aprecian esta conexión automáticamente. Como expertos en la administración de riesgos, los profesionales de seguridad de información deben tomar la iniciativa para suplir los vacíos de conocimientos durante los debates acerca de los riesgos. Tal como se ha mencionado en el capítulo anterior, la incorporación de un patrocinador ejecutivo que comprenda la organización facilita mucho el establecimiento de esta relación.

Debate e interrogatorio

En muchos métodos de administración de riesgos de seguridad se requiere que el grupo de seguridad de información haga preguntas explícitas a los participantes y catalogue sus respuestas. Algunos ejemplos de estas preguntas son "¿puede describir sus directivas para garantizar una segmentación correcta de las responsabilidades?" y "¿cuál es su proceso para revisar las directivas y los procedimientos?". Tenga en cuenta el tono y el curso de la reunión. Es recomendable centrarse en preguntas abiertas que faciliten los debates en los dos sentidos. Esto también permite que los participantes comuniquen el verdadero espíritu de las respuestas en vez de indicar simplemente al responsable de evaluación de riesgos lo que creen que desea oír. El objetivo del debate acerca de los riesgos es comprender la organización y sus riesgos de seguridad, no el llevar a cabo una auditoría de la directiva documentada. Aunque la aportación de los participantes sin conocimientos técnicos es valiosa, normalmente no es exhaustiva. El equipo de administración de riesgos de seguridad, independientemente del responsable de negocios, necesita analizar, investigar y tener en cuenta todos los riesgos para cada activo.

Generación de buena voluntad

La seguridad de información es una función de negocios difícil ya que la reducción de riesgos se suele considerar como una reducción de la capacidad de uso o de la productividad de los empleados. Utilice los debates facilitados como herramienta para establecer una alianza con los participantes. La legislación, las preocupaciones de privacidad, la presión de la competencia y una mayor toma de conciencia por parte de los consumidores han provocado que los ejecutivos y los responsables de la toma de decisiones reconozcan que la seguridad es un componente de negocios muy importante. Ayude a los participantes a comprender la importancia de administrar el riesgo y sus funciones en el programa global. En ocasiones resulta más productivo establecer relaciones entre el grupo de seguridad de información y los participantes que los datos reales recopilados durante la reunión. Es una pequeña pero importante victoria en el esfuerzo global de la administración de riesgos.

Preparación del debate acerca de los riesgos

Antes de que comiencen los debates acerca de los riesgos, el equipo de administración de riesgos de seguridad debe dedicar tiempo en investigar y comprender de forma clara cada elemento que se tratará. La siguiente información cubre las prácticas recomendadas y precisa la definición de cada elemento de la declaración de riesgo bien elaborada como preparación para facilitar los debates con los participantes.

Identificación de la información de la evaluación de riesgos

El equipo de evaluación de riesgos debe prepararse exhaustivamente antes de reunirse con los participantes. El equipo resulta más eficaz y los debates son más productivos cuando el equipo dispone de conocimientos claros de la organización, su entorno técnico y la actividad de evaluación del pasado. Utilice la siguiente lista como ayuda para recopilar el material que se utilizará como información del proceso de evaluación de riesgos:

Nuevas motivaciones de negocios: actualice sus conocimientos acerca de las prioridades de la organización o los cambios que se hayan producido desde la última evaluación. Preste una atención especial a las fusiones y adquisiciones.

Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores, las cuales ofrecen perspectiva. Puede que el equipo de evaluación de riesgos tenga que reconciliar la nueva evaluación con el trabajo anterior.

Auditorías: recopile los informes de auditoría pertinentes al ámbito de la evaluación de riesgos. Los resultados de auditoría se deben tener en cuenta en la evaluación y al seleccionar las nuevas soluciones de control.

Incidencias de seguridad: utilice las incidencias anteriores para identificar los activos clave, comprender el valor de los activos, identificar las vulnerabilidades predominantes y resaltar las definiciones de control.

Sucesos del sector: identifique las nuevas tendencias en la organización y las influencias externas. La normativa gubernamental, las leyes y la actividad internacional pueden afectar considerablemente a la posición de riesgo. La identificación de nuevas tendencias puede requerir investigación y evaluación considerables por parte de la organización. Puede resultar útil dedicar personal a la revisión durante el año.

Boletines: revise los problemas de seguridad conocidos que se hayan identificado en el Web, en grupos de noticias y directamente por parte de los proveedores.

Guía de información de seguridad: lleve a cabo investigaciones para determinar si hay disponibles nuevas tendencias, herramientas o enfoques en la administración de riesgos. Los estándares del sector se pueden aprovechar para mejorar o justificar el proceso de evaluación de riesgos o bien para identificar las nuevas estrategias de control. Los estándares internacionales también constituyen otra información clave.

En esta guía se incorporan conceptos de numerosos estándares, como el 17799 de la organización International Standards Organization (ISO). La evaluación y aplicación meticulosas de los estándares permiten utilizar el trabajo de otros profesionales y ofrecer credibilidad a los participantes de la organización. Puede resultar útil hacer referencia específica a estándares durante los debates acerca de los riesgos para garantizar que la evaluación cubre todas las áreas de seguridad de información correspondientes.

Identificación y clasificación de activos

El ámbito de la evaluación de riesgos define las áreas de la organización que se revisarán en los debates de recopilación de datos. Se deben identificar los activos de negocios que estén en este ámbito para llevar a cabo los debates acerca de los riesgos. Los activos se definen como cualquier elemento que represente un valor para la organización. Esto incluye activos intangibles como la reputación de la empresa e información digital y activos tangibles como la infraestructura física. El enfoque más eficaz tiene que ser lo más específico posible al definir los activos de negocios, por ejemplo, la información de cuentas en una aplicación de administración de clientes. No se deben tratar las declaraciones de repercusiones cuando se están definiendo los activos. Las declaraciones de repercusiones definen la pérdida o los daños posibles para la organización. Un ejemplo de una declaración de repercusiones puede ser la disponibilidad de los datos de cuentas en la aplicación de administración de clientes. Las declaraciones de repercusiones se amplían posteriormente en el debate acerca de los riesgos. Tenga en cuenta que cada activo puede tener definidas varias repercusiones durante el debate.

Mientras identifica los activos, también identifique o confirme el responsable del activo. Normalmente es más difícil identificar a la persona o el grupo responsable de un activo de lo que pueda parecer. Documente los responsables de activos específicos durante los debates de riesgos facilitados. Esta información puede resultar útil durante el proceso de asignación de prioridades para confirmar la información y comunicar los riesgos directamente a los responsables de activos.

Como ayuda para clasificar los activos, puede resultar útil agruparlos en escenarios de negocios, por ejemplo, transacciones bancarias en línea o desarrollo de código fuente. Al trabajar con participantes sin conocimientos técnicos, comience el debate acerca de los activos con escenarios de negocios. A continuación, documente activos específicos en cada escenario.

Una vez identificados los activos, la segunda responsabilidad del responsable de negocios consiste en clasificar cada activo en lo que se refiere al efecto posible en la organización. La clasificación de activos es un componente crucial en la ecuación de riesgo global. La siguiente sección facilita este proceso.

Activos

Los activos de negocios pueden ser tangibles o intangibles. Debe definir cada tipo de activo de forma suficiente para que los responsables de negocios puedan estipular el valor del activo para la organización. Ambas categorías de activos requieren que el participante proporcione estimaciones en forma de pérdida monetaria directa o repercusiones financieras indirectas.

Los activos tangibles incluyen la infraestructura, como centros de datos, servidores y propiedad. Los activos intangibles incluyen datos u otra información digital que resulte valiosa para la organización, por ejemplo, transacciones bancarias, cálculos de intereses y planes y especificaciones de desarrollo de productos.

Según resulte adecuado para su organización, una tercera definición de activo de servicio de TI puede ser útil. El servicio de TI es una combinación de activos tangibles e intangibles. Por ejemplo, un servicio de correo electrónico de TI corporativo contiene servidores físicos y utiliza la red física; sin embargo, el servicio puede contener datos digitales confidenciales. También debe incluir el servicio de TI como un activo ya que, por lo general, tiene distintos responsables de datos y activos físicos. Por ejemplo, el responsable del servicio de correo electrónico es el encargado de la disponibilidad para tener acceso y enviar correo electrónico. No obstante, el servicio de correo electrónico puede no ser responsable de la confidencialidad de los datos financieros del correo electrónico o los controles físicos que rodean a los servidores de correo electrónico. Otros ejemplos de servicios de TI son: uso compartido de archivos, almacenamiento, redes, acceso remoto y telefonía.

Clases de activos

Los activos que se encuentren en el ámbito de la evaluación de riesgos se deben a una clase o grupo cualitativo. Las clases facilitan la definición de las repercusiones globales de los riesgos de seguridad. También ayudan a la organización a centrarse en primer lugar en los activos más cruciales. Los distintos modelos de evaluación de riesgos definen una serie de clases de activos. El proceso de administración de riesgos de seguridad de Microsoft utiliza tres clases de activos que facilitan la cuantificación del valor del activo para la organización. ¿Por qué sólo tres clases? Estas tres agrupaciones permiten una diferenciación suficiente y reducir el tiempo de debate y selección de la denominación de clase adecuada.

El proceso de administración de riesgos de seguridad de Microsoft define las tres clases de activos cualitativos siguientes: alta repercusión en la empresa, repercusión moderada en la empresa y repercusión baja en la empresa. Durante el paso de asignación de prioridades a los riesgos, el proceso también proporciona orientación para cuantificar los activos. Según resulte adecuado para la organización, puede optar por cuantificar los activos durante los debates de riesgos facilitados. Si lo hace, tenga en cuenta el tiempo necesario para lograr el consenso en la cuantificación de los valores monetarios durante el debate acerca de los riesgos. El proceso recomienda esperar hasta que se hayan identificado todos los riesgos y posteriormente se les haya asignado prioridades para reducir el número de riesgos que necesitan más análisis.

Nota: para obtener información adicional acerca de la definición y clasificación de la información y los sistemas de información consulte los talleres de la publicación especial 800-60 de National Institute of Standards and Technology (NIST), "Mapping Types of Information and Information Systems to Security Categories" y la publicación 199 de Federal Information Processing Standards (FIPS), "Security Categorization of Federal Information and Information Systems".

Repercusión alta en la empresa

Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan pérdidas graves o catastróficas para la organización. Las repercusiones se pueden expresar en términos financieros puros o pueden reflejar pérdida indirecta o robo de instrumentos financieros, productividad de la organización, daños a la reputación o responsabilidad legal o normativa importante. En la siguiente lista se ofrecen unos cuantos ejemplos de la clase de repercusión alta en la empresa:

Credenciales de autenticación: contraseñas, claves de cifrado privadas y testigos (tokens) de hardware.

Material de negocios muy confidencial: datos financieros y propiedad intelectual.

Activos sometidos a requisitos normativos específicos: GLBA, HIPAA, CA SB1386 y directiva de protección de datos de UE.

Información de identificación personal: información que permita a un pirata informático identificar a sus clientes o empleados, o bien conocer alguna característica personal.

Datos de autorización de transacciones financieras: números de tarjeta de crédito y fechas de caducidad.

Perfiles financieros: informes de crédito de clientes o extractos de ingresos personales.

Perfiles médicos: números de registro médico o identificadores biométricos.

Para proteger la confidencialidad de los activos de esta clase, el acceso está restringido al uso organizativo limitado sobre la base de "quien necesite saberlo". El número de personas con acceso a estos datos lo debe administrar explícitamente el responsable del activo. Se debe prestar la misma atención a la integridad y la disponibilidad de los activos de esta clase.

Repercusión moderada en la empresa

Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan pérdidas moderadas para la organización. La pérdida moderada no constituye una repercusión grave o catastrófica, pero altera las funciones organizativas normales hasta el punto de que son necesarios controles proactivos para minimizar las repercusiones en esta clase de activos.

La pérdida moderada se puede expresar en términos financieros puros o puede incluir pérdida indirecta o robo de instrumentos financieros, productividad de la empresa, daños a la reputación o responsabilidad legal o normativa importante. Estos activos están pensados para que los utilicen determinados grupos de empleados o personas ajenas a la empresa con una necesidad de negocios legítima. A continuación se ofrecen ejemplos de la clase de repercusión moderada en la empresa:

Información de negocios interna: directorio de empleados, datos de pedidos, diseños de infraestructura de red, información acerca de sitios Web internos y datos en recursos compartidos de archivos internos únicamente para uso de negocios interno.

Repercusión baja en la empresa

Los activos que no son de repercusión alta o de repercusión moderada tienen la clasificación de repercusión baja en la empresa y no tienen requisitos de protección formales ni controles adicionales aparte de las prácticas recomendadas estándar para proteger la infraestructura. Estos activos normalmente son información de amplia difusión pública en los que una revelación no autorizada no daría lugar a una pérdida financiera importante, problemas legales o normativos, interrupciones operativas o desventaja competitiva de negocios.

La siguiente es una lista no exhaustiva de algunos ejemplos de activos de repercusión baja en la empresa:

Estructura de alto nivel de la organización.

Información básica acerca de la plataforma operativa de TI.

Acceso de lectura a páginas Web de acceso público.

Claves de cifrado privadas.

Notas de prensa publicadas, folletos de producto, notas del producto y documentos incluidos en los productos publicados.

Información de negocios o activos tangibles obsoletos.

Organización de la información de riesgos

El riesgo implica muchos componentes en activos, amenazas, vulnerabilidades y controles. El responsable de evaluación de riesgos debe poder determinar el componente de riesgo del que se trata sin interferir en el flujo de la conversación. Para organización el debate, utilice la plantilla de discusión de riesgos (GARSHerramienta1-Herramienta de recopilación de datos.doc) incluida en la sección Herramientas para facilitar a los asistentes la comprensión de los componentes en riesgo. La plantilla también facilita al responsable de registro de evaluación de riesgos la obtención de información de riesgos de forma coherente en las reuniones.

Los datos de la plantilla se pueden rellenar en cualquier secuencia. Sin embargo, la experiencia demuestra que si se sigue la secuencia según las siguientes preguntas, se facilita a los participantes del debate la comprensión de los componentes de riesgo y revela más información:

¿Qué activo se va a proteger?

¿Cuál es el valor del activo para la organización?

¿Qué se intenta evitar que le suceda al activo (amenazas conocidas y posibles)?

¿Cómo se pueden producir la pérdida o las exposiciones?

¿Cuál es el alcance de la exposición potencial para el activo?

¿Qué se está haciendo actualmente para reducir la probabilidad o el alcance del daño en el activo?

¿Cuáles son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?

Para el profesional de seguridad de información, las preguntas anteriores se traducen en terminología y categorías de evaluación de riesgos específicas que se emplean para asignar prioridades a los riesgos. No obstante, es posible que el participante no esté familiarizado con dichos términos y no esté encargado de asignar prioridades a los riesgos. La experiencia demuestra que si se evita terminología de seguridad de información, como amenazas, vulnerabilidades y contramedidas, se mejora la calidad del debate y permite que los participantes sin conocimientos técnicos no se sientan intimidados. Otra ventaja de utilizar términos funcionales para debatir el riesgo radica en que se reduce la posibilidad de que otros técnicos discutan sutilezas de términos específicos. En este punto del proceso es mucho más importante comprender las áreas de mayor riesgo que debatir definiciones opuestas de amenaza y vulnerabilidad. El responsable de evaluación de riesgos debe esperar hasta el final del debate para resolver dudas acerca de las definiciones y terminología de los riesgos.

Organización por niveles de defensa en profundidad

El responsable de registro y el responsable de evaluación de riesgos recopilarán grandes cantidades de información. Utilice el modelo de defensa en profundidad para facilitar la organización de los debates correspondientes a todos los elementos de riesgo. Esta organización proporciona una estructura y ayuda al equipo de administración de riesgos de seguridad a recopilar información de riesgos en la organización. En la plantilla de debate de riesgos se incluye un ejemplo de niveles de defensa en profundidad y se ilustra en la figura 4.2. En la sección titulada "Organización de las soluciones de control" del capítulo 6, "Implementación de controles y medición de la efectividad del programa", se incluye una descripción más detallada del modelo de defensa en profundidad.

Figura 4.2 Modelo de defensa en profundidad

Figura 4.2 Modelo de defensa en profundidad

Otra herramienta útil para complementar el modelo de defensa en profundidad es hacer referencia al estándar ISO 17799 para organizar las preguntas y respuestas relativas a los riesgos. Hacer referencia a un estándar exhaustivo como ISO 17799 también facilita los debates acerca de los riesgos en relación con áreas adicionales, por ejemplo, jurídica, directiva, proceso, personal y desarrollo de aplicaciones.

Definición de amenazas y vulnerabilidades

La información acerca de las amenazas y vulnerabilidades proporciona la prueba técnica que se emplea para asignar prioridades a los riesgos en una empresa. Debido a que muchos participantes sin conocimientos técnicos pueden no estar familiarizados con las exposiciones detalladas que afectan a su empresa, es posible que el responsable de evaluación de riesgos tenga que ofrecer ejemplos que contribuyan a iniciar el debate. Ésta es un área en la que resulta muy valiosa una investigación previa para ayudar a los responsables de negocios a detectar y comprender el riesgo en sus propios entornos. Como referencia, en ISO 17799 se definen las amenazas como una causa de repercusiones posibles en la organización. NIST define una amenaza como un suceso o entidad con posibilidad de dañar el sistema. Las repercusiones derivadas de una amenaza normalmente se definen con conceptos como confidencialidad, integridad y disponibilidad. Hacer referencia a estándares del sector resulta muy útil al investigar amenazas y vulnerabilidades.

Para el debate de riesgos facilitado puede resultar útil traducir las amenazas y vulnerabilidades en términos conocidos para los participantes sin conocimientos técnicos. Por ejemplo, ¿qué se intenta evitar? o ¿qué se teme que le suceda al activo? La mayoría de las repercusiones en la empresa se pueden clasificar en confidencialidad del activo, integridad o disponibilidad del activo para la realización de las actividades. Intente utilizar este enfoque si los participantes tienen dificultades para entender el significado de las amenazas para los activos organizativos. Un ejemplo habitual de una amenaza para la organización es un ataque a la integridad de los datos financieros. Después de haber articulado lo que intenta evitar, la siguiente tarea consiste en determinar el modo en que las amenazas se producen en la organización.

Una vulnerabilidad es un punto débil de un activo o grupo de activos que una amenaza puede atacar. De un modo simplificado, las vulnerabilidades proporcionan el mecanismo o el modo en que se pueden producir las amenazas. Como referencia adicional, NIST define la vulnerabilidad como una situación o punto débil en (o la ausencia de) los procedimientos de seguridad, controles técnicos, controles físicos u otros controles que puede aprovechar una amenaza. Como ejemplo, una vulnerabilidad habitual de los osas es la ausencia de actualizaciones de seguridad. La incorporación de los ejemplos de amenaza y vulnerabilidad indicados anteriormente genera la siguiente declaración: "los osas sin revisiones pueden provocar un ataque a la integridad de la información financiera que se encuentra en ellos".

Un error habitual al llevar a cabo una evaluación de riesgos es centrarse en vulnerabilidades técnicas. La experiencia demuestra que las vulnerabilidades más importantes se suelen producir debido a la ausencia de un proceso definido o un control no adecuado de la seguridad de información. No pase por alto los aspectos organizativos y de liderazgo de la seguridad durante el proceso de recopilación de datos. Por ejemplo, retomando la vulnerabilidad de actualizaciones de seguridad anterior, la imposibilidad de aplicar actualizaciones en sistemas administrados puede conllevar un ataque a la integridad de la información financiera que se encuentra en dichos sistemas. El control claro y la aplicación de directivas de seguridad de información suelen ser un problema organizativo en muchas empresas.

Nota: durante el proceso de recopilación de datos puede reconocer grupos comunes de amenazas y vulnerabilidades. Realice un seguimiento de estos grupos para determinar si con controles similares se puede reducir la probabilidad de varios riesgos.

Estimación de exposición de los activos

Después de que el responsable de evaluación de riesgos dirija el debate por la identificación de activos, amenazas y vulnerabilidades, la siguiente tarea consiste en recopilar las estimaciones de los participantes acerca del alcance de los daños posibles al activo, independientemente de su definición de clase. El alcance de daños posibles se define como exposición del activo.

Tal como se ha descrito anteriormente, el responsable de negocios es el encargado de identificar los activos y estimar la pérdida posible para el activo o la organización. A modo de revisión, la clase de activos, la exposición y la combinación de amenaza y vulnerabilidad definen las repercusiones globales en la organización. A continuación, las repercusiones se combinan con la probabilidad para realizar la declaración de riesgo bien elaborada, tal como se ha definido en el capítulo 3.

El responsable de evaluación de riesgos inicia el debate con los siguientes ejemplos de categorías cualitativas de exposición posible para cada combinación de amenaza y vulnerabilidad asociada a un activo:

Ventaja competitiva

Legal/normativo

Disponibilidad operativa

Reputación en el mercado

Por cada categoría, ayude a los participantes a situar las estimaciones en los tres grupos siguientes:

Exposición alta: pérdida grave o completa del activo.

Exposición moderada: pérdida limitada o moderada.

Exposición baja: pérdida menor o no hay pérdida.

En la sección de asignación de prioridades de este capítulo se ofrecen indicaciones para incorporar detalles a las categorías de exposición anteriores. Al igual que en la tarea de cuantificar los activos, el proceso de administración de riesgos de seguridad de Microsoft recomienda esperar hasta el paso de asignación de prioridades para precisar los niveles de exposición.

Nota: si los participantes tienen dificultades para seleccionar los niveles de exposición durante los debates facilitados, retome los detalles de amenaza y vulnerabilidad para facilitar la indicación del nivel posible de daños o pérdida del activo. Los ejemplos públicos de ataques de seguridad también constituyen otra herramienta útil. Si se necesita ayuda adicional, introduzca el máximo de niveles detallados de exposición según lo definido en la sección de asignación de prioridades detalladas más adelante en este capítulo.

Estimación de la probabilidad de las amenazas

Después de que los participantes hayan proporcionado las estimaciones de las posibles repercusiones en los activos organizativos, el responsable de evaluación de riesgos recopila sus opiniones acerca de la probabilidad de que las repercusiones se produzcan. De este modo se cierra el debate acerca de los riesgos y se permite que el participante comprenda el proceso de identificar los riesgos de seguridad. Recuerde que el grupo de seguridad de información se encarga de la decisión final acerca de la estimación de probabilidad de que se produzcan repercusiones en la organización. Este debate se puede considerar de cortesía y un modo de generar buena voluntad en los participantes.

Utilice las siguientes indicaciones para estimar la probabilidad de cada amenaza y vulnerabilidad identificada en el debate:

Alta: muy probable, previsión de uno o varios ataques en un año.

Media: probable, previsión de ataque en dos a tres años.

Baja: no probable, no se prevé ningún ataque en tres años.

Normalmente se incluye la revisión de las incidencias que se han producido recientemente. Según resulte adecuado, debata estas indicaciones en orden para que los participantes comprendan la importancia de la seguridad y el proceso de administración de riesgos global.

El proceso de administración de riesgos de seguridad de Microsoft asocia un intervalo de un año a la categoría de probabilidad alta porque los controles de seguridad de información normalmente tardan períodos largos en implementarse. Seleccionar la probabilidad de un año llama la atención del riesgo y anima a tomar una decisión de mitigación en el siguiente ciclo presupuestario. Una probabilidad alta, combinada con una repercusión alta, exige un debate acerca de los riesgos entre los participantes y el equipo de administración de riesgos de seguridad. El grupo de seguridad de información debe tomar conciencia de esta responsabilidad al estimar la probabilidad de las repercusiones.

La siguiente tarea es recopilar las opiniones de los participantes acerca de los posibles controles que puedan reducir la probabilidad de las repercusiones identificadas. Trate este debate como una sesión de lluvia de ideas y no critique ni rechace ninguna idea. De nuevo, el objetivo principal de este debate es demostrar todos los componentes de riesgo para facilitar la comprensión. La selección de mitigación real se produce en la fase de apoyo a la toma de decisiones. Por cada posible control identificado, revise el debate de probabilidad para estimar el nivel de aparición reducida mediante las mismas categorías cualitativas descritas anteriormente. Indique a los participantes que el concepto de reducción de probabilidad del riesgo es la variable principal para administrar el riesgo a un nivel aceptable.

Facilitar los debates acerca de los riesgos

En esta sección se describe la preparación de las reuniones de debate acerca de los riesgos y se definen las cinco tareas del debate de recopilación de datos (determinar los activos y escenarios organizativos, identificar las amenazas, identificar las vulnerabilidades, estimar la exposición de activos, identificar los controles existentes y la probabilidad de un ataque).

Preparación de las reuniones

Un factor sutil, pero importante, de éxito es el orden en que se llevan a cabo los debates acerca de los riesgos. La experiencia en Microsoft demuestra que cuanta más información aporta el equipo de administración de riesgos de seguridad a cada reunión, más productivo es su resultado. Una estrategia consiste en crear una base de conocimientos de los riesgos en la organización para aprovechar la experiencia de los equipos de seguridad de información y de TI. Celebre una reunión con el grupo de seguridad de información en primer lugar y, a continuación, con los equipos de TI para actualizar los conocimientos acerca del entorno. De este modo, el equipo de administración de riesgos de seguridad puede disponer de una mayor comprensión del área de la organización de cada participante. También permite que dicho equipo comparta los avances de la evaluación de riesgos con los participantes según resulte adecuado. Según esta práctica recomendada, lleve a cabo los debates acerca de los riesgos con la dirección ejecutiva hacia el final del proceso de recopilación de datos. Los ejecutivos normalmente desean obtener un avance de la dirección que toma la evaluación de riesgos. No lo confunda con el patrocinio y el apoyo ejecutivo. La participación de los ejecutivos es necesaria al principio y durante el proceso de evaluación de riesgos.

Dedique tiempo a crear la lista de invitados a cada debate acerca de los riesgos. Se recomienda llevar a cabo reuniones con grupos de participantes que dispongan de responsabilidades y conocimientos técnicos similares. El objetivo es que los asistentes se sientan cómodos con el nivel técnico del debate. Aunque un conjunto variado de participantes puede suponer una ventaja al ofrecer otros puntos de vista acerca del riesgo de la organización, el proceso de evaluación de riesgos debe permanecer centrado en recopilar todos los datos pertinentes en el tiempo asignado.

Después de programar los debates acerca de los riesgos, investigue el área de organización de cada participante para familiarizarse con los activos, las amenazas, las vulnerabilidades y los controles. Tal como se ha indicado anteriormente, esta información permite al responsable de evaluación de riesgos mantener el debate encauzado y a un ritmo productivo.

Facilitar los debates

El debate dirigido debe tener un tono informal; no obstante, el responsable de evaluación de riesgos debe mantener el debate en orden para tratar todo el material pertinente. La experiencia demuestra que el debate normalmente no se ajusta a la agenda. Los errores probables se producen cuando los participantes inician discusiones técnicas acerca de las nuevas vulnerabilidades o tienen soluciones de control preconcebidas. El responsable de evaluación de riesgos debe utilizar la investigación previa a la reunión y su experiencia para elaborar un resumen de la discusión técnica y hacer que la reunión avance. Con la suficiente preparación, una reunión con cuatro a seis participantes debe durar aproximadamente 60 minutos.

Dedique unos minutos al principio para tratar la agenda y hacer hincapié en las funciones y responsabilidades en el programa de administración de riesgos. Los participantes deben comprender de forma clara sus funciones y las aportaciones que se esperan de ellos. Otra práctica recomendada es proporcionar a todos los participantes una hoja de trabajo de debate de riesgos de ejemplo para que tomen notas personales. De este modo también se ofrece una referencia a medida que el responsable de evaluación de riesgos dirige el debate de riesgos. Otra práctica recomendada es llegar antes y anotar la plantilla de riesgos en una pizarra para registrar datos durante la reunión. Para una reunión de 60 minutos, la distribución del tiempo debe ser parecida a la siguiente:

Presentaciones e información general acerca de la administración de riesgos: 5 minutos

Funciones y responsabilidades: 5 minutos

Debate acerca de los riesgos: 50 minutos

El debate acerca de los riesgos se divide en las siguientes secciones:

Determinar los activos organizativos y los escenarios 

Identificar las amenazas 

Identificar las vulnerabilidades 

Estimar la exposición de los activos 

Estimar la probabilidad de las amenazas 

Debates de los controles propuestos 

Resumen de la reunión y pasos siguientes 

El flujo real de la reunión varía según el grupo de participantes, el número de riesgos debatidos y la experiencia del responsable de evaluación de riesgos. Utilice éste como guía en cuanto a la dedicación de tiempo relativo a cada tarea de la evaluación. Asimismo, considere la posibilidad de enviar la plantilla de recopilación de datos antes de la reunión si los participantes tienen experiencia en el proceso de evaluación de riesgos.

Nota: en las secciones restantes de este capítulo se incluye información de ejemplo para demostrar el uso de las herramientas a las que se ha hecho referencia en la fase de evaluación de riesgos. La empresa de ejemplo es ficticia y el contenido relacionado con el riesgo sólo representa una parte de los datos necesarios para una evaluación de riesgos completa. El ejemplo se centra en mostrar únicamente el modo en que se puede recopilar y analizar la información mediante las herramientas proporcionadas con esta guía. Una demostración completa de todos los aspectos del proceso de administración de riesgos de seguridad de Microsoft genera una cantidad considerable de datos y queda fuera del ámbito de esta guía. La empresa ficticia es un banco que ofrece servicios a particulares denominado Woodgrove Bank. El contenido relacionado con el ejemplo se puede identificar mediante el encabezado "Ejemplo de Woodgrove" que antecede a cada tema de ejemplo.

Tarea 1: Determinar los activos organizativos y los escenarios

La primera tarea consiste en recopilar las definiciones de los participantes de los activos organizativos en el ámbito de la evaluación de riesgos. Utilice la plantilla de recopilación de datos, mostrada a continuación, para asignar los activos tangibles, intangibles o de servicio de TI según resulte adecuado (GARSHerramienta1-Herramienta de recopilación de datos.doc también se incluye como herramienta con esta guía). Por cada activo, ayude a los participantes a seleccionar una clase de activos y a registrarla en la plantilla. Según resulte adecuado, registre también el responsable del activo. Si los participantes tienen dificultades para seleccionar una clase de activos, compruebe que el activo está definido en un nivel detallado para facilitar el debate. Si los participantes siguen teniendo dificultades, omita esta tarea y espere hasta los debates acerca de las amenazas y las vulnerabilidades. La experiencia demuestra que los participantes pueden clasificar los activos más fácilmente cuando aprecian las amenazas posibles para el activo y toda la empresa.

El debate en relación con los activos organizativos se puede limitar a unas preguntas simples. Por ejemplo, ¿el activo es crucial para el éxito de la empresa? y ¿el activo puede tener repercusiones materiales en los resultados? Si las respuestas son afirmativas, el activo puede tener repercusiones altas en la organización.

Figura 4.3 Instantánea de la plantilla de recopilación de datos (GARSHerramienta1)

Figura 4.3 Instantánea de la plantilla de recopilación de datos (GARSHerramienta1)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: Woodgrove Bank dispone de numerosos activos de alto valor que van desde sistemas de cálculo de intereses e información personal de clientes hasta datos financieros de consumidor y reputación como institución de confianza. Este ejemplo sólo se centra en uno de estos activos, datos financieros de consumidor, para demostrar el uso de las herramientas incluidas en esta guía. Después de tratar la responsabilidad del activo en la reunión de debate acerca de los riesgos, el equipo de administración de riesgos de seguridad ha identificado al vicepresidente de servicios al consumidor como el responsable del activo. Si se identifica un riesgo controvertido o una estrategia de mitigación cara, este responsable de negocios será un participante clave al decidir el riesgo aceptable para Woodgrove Bank. Al hablar con los representantes de los servicios al consumidor, el equipo de administración de riesgos de seguridad ha confirmado que los datos financieros de consumidor son un activo de alto valor para la empresa.

Tarea 2: Identificar las amenazas

Utilice terminología común para facilitar el debate acerca de las amenazas, por ejemplo, ¿qué desean evitar los participantes que les suceda a los distintos activos? Centre los debates en qué puede suceder en vez de cómo puede suceder. Plantee las preguntas en términos de confidencialidad, integridad o disponibilidad del activo y registre la información en la plantilla de recopilación de datos.

Ejemplo de Woodgrove: según los activos tratados anteriormente, se pueden identificar numerosas amenazas. Para abreviar, este ejemplo sólo se centra en la amenaza de una pérdida de integridad de los datos financieros de consumidor. También puede haber amenazas adicionales en cuanto a la disponibilidad y la confidencialidad de los datos de consumidor; no obstante, quedan fuera del ámbito de este ejemplo básico.

Tarea 3: Identificar las vulnerabilidades

Por cada amenaza identificada, ofrezca ideas acerca de las vulnerabilidades, por ejemplo, cómo se podría producir la amenaza. Anime a los participantes a ofrecer ejemplos técnicos específicos al documentar las vulnerabilidades. Cada amenaza puede tener varias vulnerabilidades. Esto es normal y sirve de ayuda en las etapas posteriores de identificación de controles en la fase de apoyo a la toma de decisiones del proceso de administración de riesgos.

Ejemplo de Woodgrove: teniendo en cuenta la amenaza de pérdida de integridad en los datos financieros de consumidor, el equipo de administración de riesgos de seguridad ha condensado la información recopilada durante los debates acerca de los riesgos en las tres vulnerabilidades siguientes:

1.

Robo de credenciales de asesor financiero por parte de empleados de confianza mediante ataques no técnicos, por ejemplo, ingeniería social o escuchas.

2.

Robo de credenciales de asesor financiero a través de hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas.

3.

Robo de credenciales de asesor financiero a través de hosts remotos, o móviles, como resultado de configuraciones de seguridad obsoletas.

Tenga en cuenta que puede haber muchas más vulnerabilidades en este escenario. El objetivo es demostrar el modo en que las vulnerabilidades se asignan a amenazas específicas. Tenga también en cuenta que es posible que los participantes no designen las vulnerabilidades en términos técnicos. El equipo de administración de riesgos de seguridad debe precisar las declaraciones de amenazas y vulnerabilidades según sea necesario.

Tarea 4: Estimar la exposición de los activos

El responsable de evaluación de riesgos dirige el debate para estimar la exposición de cada combinación de amenaza y vulnerabilidad. Pida a los participantes que seleccionen un nivel de exposición alta, moderada o baja y lo registren en la plantilla. En el caso de activos y sistemas digitales, una directriz útil consiste en clasificar la exposición como alta si la vulnerabilidad permite un control de nivel administrativo, o raíz, del activo.

Ejemplo de Woodgrove: después de identificar las amenazas y las vulnerabilidades, el responsable de evaluación de riesgos dirige el debate para recopilar información acerca del nivel posible de daños que las combinaciones de amenaza y vulnerabilidad tratadas anteriormente pueden producir a la empresa. Tras debatirlo, el grupo determina lo siguiente:

Un ataque de integridad por parte de un empleado de confianza puede provocar daños a la empresa, pero probablemente no sean demasiado graves. En este escenario, el alcance del daño es limitado porque cada asesor financiero sólo puede tener acceso a los datos de cliente que administra. Por lo tanto, el grupo de debate reconoce que un número menor de credenciales robadas provoca menos daños que un número mayor.

Un ataque de integridad mediante el robo de credenciales en los hosts de la LAN puede provocar un nivel grave, o alto, de daños. Esto es así, especialmente, en el caso de un ataque automatizado que pueda recopilar varias credenciales de asesor financiero en un breve período de tiempo.

Un ataque de integridad mediante el robo de credenciales en los hosts móviles también puede tener un nivel grave, o alto, de daños. El grupo de debate anota que las configuraciones de seguridad en los hosts remotos normalmente van por detrás de los sistemas LAN.

Tarea 5: Identificar los controles existentes y la probabilidad de un ataque

Utilice el debate acerca de los riesgos para comprender mejor los puntos de vista de los participantes del entorno de controles actual, sus opiniones acerca de la probabilidad de un ataque y sus sugerencias de controles propuestos. Los puntos de vista de los participantes pueden diferir de la implementación real, pero proporcionan una referencia valiosa al grupo de seguridad de información. Utilice este punto del debate para recordar a los participantes sus funciones y responsabilidades en el programa de administración de riesgos. Documente los resultados en la plantilla.

Ejemplo de Woodgrove: después del debate acerca de la exposición posible para la empresa con las amenazas y vulnerabilidades identificadas, los participantes sin conocimientos técnicos no disponen de suficiente experiencia para comentar la probabilidad de que un host esté en peligro en relación a otro. Sin embargo, están de acuerdo en que los hosts remotos, o los hosts móviles, no reciben el mismo nivel de administración que los de la LAN. Se debate la necesidad de que los asesores financieros revisen periódicamente los informes de actividad para detectar comportamientos no autorizados. Estos comentarios se recopilan y los tendrá en cuenta el equipo de administración de riesgos de seguridad durante la fase de apoyo a la toma de decisiones.

Resumen del debate acerca de los riesgos

Al final del debate acerca de los riesgos, resuma brevemente los riesgos identificados para facilitar el cierre de la reunión. Asimismo, recuerde a los participantes el proceso de administración de riesgos global y calendario. La información recopilada en el debate acerca de los riesgos otorga a los participantes una función activa en el proceso de administración de riesgos y ofrece información valiosa al equipo de administración de riesgos de seguridad.

Ejemplo de Woodgrove: el responsable de evaluación de riesgos resume el debate y destaca los activos, amenazas y vulnerabilidades que se han tratado. También describe el proceso de administración de riesgos global e informa al grupo de debate el hecho de que el equipo de administración de riesgos de seguridad hará uso de su información, y la de otros, al estimar la probabilidad de cada amenaza o vulnerabilidad.

Definición de las declaraciones de consecuencias

La última tarea del paso de recopilación de datos facilitados consiste en analizar la cantidad posiblemente grande de información recopilada durante los debates acerca de los riesgos. El resultado de este análisis es una lista de declaraciones que describen el activo y la exposición posible debido a una amenaza y vulnerabilidad. Tal como se ha definido en el capítulo 3, estas declaraciones se denominan declaraciones de repercusiones. Las repercusiones se determinan mediante la combinación de la clase de activos con el nivel de exposición posible para el activo. Recuerde que las repercusiones son la mitad de la declaración de riesgo; las repercusiones se combinan con la probabilidad de que suceda para completar la declaración de riesgo.

El equipo de administración de riesgos de seguridad crea las declaraciones de repercusiones mediante la consolidación de la información recopilada en los debates acerca de los riesgos, la incorporación de las repercusiones identificadas anteriormente y, también, la inclusión de datos de repercusiones de sus propias observaciones. El equipo de administración de riesgos de seguridad es responsable de esta tarea, pero debe solicitar información adicional a los participantes según sea necesario.

La declaración de repercusiones contiene el activo, la clase de activos, el nivel de defensa en profundidad, la descripción de la amenaza, la descripción de la vulnerabilidad y la clasificación de exposición. Utilice la información registrada en la plantilla de recopilación de datos para definir las declaraciones de repercusiones para todos los debates facilitados. En la figura 4.4 se muestran los encabezados de columna correspondientes de la plantilla de riesgo de nivel de resumen para recopilar los datos específicos de repercusiones.

Figura 4.4 Hoja de trabajo de nivel de riesgo de resumen: columnas Activo y Exposición (GARSHerramienta2)

Figura 4.4 Hoja de trabajo de nivel de riesgo de resumen: columnas Activo y Exposición (GARSHerramienta2)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: la información de ejemplo recopilada durante los debates acerca de los riesgos se puede organizar mediante el desarrollo de declaraciones de repercusiones. El equipo de administración de riesgos de seguridad puede documentar las declaraciones de repercusiones mediante frases; por ejemplo, "La integridad de los datos de cliente de alto valor puede estar amenazada por el robo de credenciales de hosts administrados de forma remota". Aunque este enfoque es preciso, la elaboración de frases no sirve para una gran cantidad de riesgos debido a las incoherencias en la redacción, la comprensión y la ausencia de datos de organización (clasificación o consulta de riesgos). Un enfoque más eficaz consiste en asignar los datos de repercusiones a la tabla de nivel de resumen tal como se muestra a continuación.

Figura 4.5 Ejemplo de Woodgrove: Información obtenida durante el proceso de recopilación de datos (GARSHerramienta2)

Figura 4.5 Ejemplo de Woodgrove: Información obtenida durante el proceso de recopilación de datos (GARSHerramienta2)
Ver imagen a tamaño completo

Nota: en la siguiente sección, titulada "Asignación de prioridades a los riesgos", se proporcionan indicaciones adicionales acerca de la selección y documentación de la clasificación de efecto empleadas en el proceso de riesgos de nivel de resumen.

Resumen de recopilación de datos

Mediante la consolidación de la información obtenida durante los debates de recopilación de datos en declaraciones de repercusiones individuales, el equipo de administración de riesgos de seguridad ha concluido las tareas del paso de recopilación de datos facilitados de la fase de evaluación de riesgos. En la siguiente sección, "Asignación de prioridades a los riesgos", se detallan las tareas de la asignación de prioridades a los riesgos. Durante la asignación de prioridades, el equipo de administración de riesgos de seguridad se encarga de estimar la probabilidad de cada declaración de repercusiones. A continuación, dicho equipo combina las declaraciones de repercusiones con sus estimaciones de probabilidad de que suceda. El resultado es una lista exhaustiva de riesgos con prioridades, lo que concluye la fase de evaluación de riesgos.

Al analizar los riesgos se pueden identificar riesgos que dependen de que otros se produzcan. Por ejemplo, si se produce un incremento de privilegio en un activo de repercusión baja en la empresa, se puede quedar expuesto un activo de repercusión alta en la empresa. Este ejercicio es válido; no obstante, las dependencias de los riesgos pueden llegar a generar una cantidad ingente de datos que se tienen que recopilar, administrar y hacer un seguimiento de ellos. El proceso de administración de riesgos de seguridad de Microsoft recomienda destacar las dependencias según sea factible, pero normalmente no es rentable administrar todas las dependencias de los riesgos. El objetivo global es identificar y administrar los riesgos de máxima prioridad para la empresa.

Asignación de prioridades a los riesgos

Tal como se ha tratado en la sección anterior, el paso de recopilación de datos facilitados define las tareas para elaborar una lista de declaraciones de repercusiones para identificar los activos organizativos y sus posibles repercusiones. En esta sección se describe el siguiente paso de la fase de evaluación de riesgos: la asignación de prioridades a los riesgos. El proceso de asignación de riesgos incorpora el elemento de probabilidad a la declaración de repercusiones. Recuerde que una declaración de riesgo bien elaborada requiere tanto las repercusiones para la organización como la probabilidad de que se produzcan. El proceso de asignación de prioridades se puede considerar como el último paso en la "definición de los riesgos más importantes para la organización". Su resultado final es una lista de prioridades de riesgos que se utilizará como la información para el proceso de apoyo a la toma de decisiones que se describe en el capítulo 5, "Apoyo a la toma de decisiones".

El grupo de seguridad de información es el único responsable del proceso de asignación de prioridades. El equipo puede consultar a participantes con conocimientos técnicos y sin dichos conocimientos, pero es su responsabilidad determinar la probabilidad de las repercusiones posibles para la organización.

Mediante la aplicación del proceso de administración de riesgos de seguridad de Microsoft, el nivel de probabilidad tiene la capacidad de incrementar la toma de conciencia de un riesgo a los máximos niveles de la organización o puede reducirla tanto que el riesgo se pueda aceptar sin más debate. La estimación de la probabilidad de riesgo requiere que el equipo de administración de riesgos de seguridad dedique mucho tiempo a evaluar exhaustivamente cada combinación de amenaza y vulnerabilidad de prioridad. Cada combinación se evalúa según los controles actuales para tener en cuenta la eficacia de dichos controles que pueda influir en la probabilidad de repercusiones para la organización. Este proceso puede resultar abrumador para organizaciones grandes y puede comprometer la decisión inicial de invertir en un programa de administración de riesgos formal. Para reducir el tiempo dedicado a la asignación de prioridades a los riesgos, el proceso se puede dividir en dos tareas: un proceso de nivel de resumen y otro de nivel detallado.

En el proceso de nivel de resumen se genera una lista de riesgos con prioridades muy rápidamente, similar a los procedimientos de selección que se utilizan en las habitaciones de urgencias hospitalarias para garantizar que se ofrece ayuda a los pacientes que más la necesitan en primer lugar. No obstante, el inconveniente es que se produce una lista que sólo contiene comparaciones de alto nivel entre los riesgos. Una larga lista de nivel de resumen de los riesgos en que cada uno se considere alto no proporciona suficientes indicaciones al equipo de administración de riesgos de seguridad ni le permite asignar prioridades a las estrategias de mitigación. En todo caso, los equipos pueden clasificar rápidamente los riesgos para identificar los riesgos altos y moderados, lo que permite que el equipo de administración de riesgos de seguridad centre sus esfuerzos sólo en los riesgos que parecen más importantes.

En el proceso de nivel detallado se elabora una lista con más detalle que permite diferenciar fácilmente los riesgos entre sí. La vista de riesgos detallada permite la clasificación apilada de los riesgos y también incluye una vista más detallada del posible efecto financiero derivado del riesgo. Este elemento cuantitativo facilita el cálculo de costos de los debates de controles en el proceso de apoyo a la toma de decisiones, que se describe en el siguiente capítulo.

Algunas organizaciones pueden optar por no elaborar una lista de riesgos de nivel de resumen. Si no se analiza, puede parecer que esta estrategia ahorra tiempo, pero no es así. Minimizar el número de riesgos en la lista de nivel detallado, en última instancia, hace que el proceso de evaluación de riesgos sea más eficaz. Un objetivo principal del proceso de administración de riesgos de seguridad de Microsoft es simplificar el proceso de evaluación de riesgos mediante el equilibrio entre la granularidad agregada al análisis de riesgos y el esfuerzo necesario para calcular el riesgo. Simultáneamente, intenta promover y conservar la claridad en relación con la lógica inherente para que los participantes dispongan de una comprensión clara de los riesgos para la organización.

Algunos riesgos pueden tener la misma clasificación en la lista de resumen y en la detallada; no obstante, las clasificaciones ofrecen suficiente información para determinar si el riesgo es importante para la organización y si debe pasar al proceso de apoyo a la toma de decisiones.

Nota: el objetivo final de la fase de evaluación de riesgos es definir los más importantes para la organización. El objetivo de la fase de apoyo a la toma de decisiones es determinar lo que se debe hacer para solucionarlos.

Los equipos normalmente se estancan en esta etapa mientras los participantes debaten la importancia de varios riesgos. Para reducir los posibles retardos, aplique las siguientes tareas según resulte adecuado para su organización:

1.

Sin emplear términos técnicos, defina los riesgos de nivel alto y medio para la organización antes de iniciar el proceso de asignación de prioridades.

2.

Centre la atención en los riesgos que están en el límite entre los niveles alto y medio.

3.

Evite debatir el modo de afrontar los riesgos antes de decidir si es importante. Preste atención a los participantes que tengan soluciones preconcebidas en mente y busquen resultados para proporcionar justificación al proyecto.

En el resto de esta sección se tratan los factores de éxito y las tareas para crear las clasificaciones de riesgos de nivel de resumen y detallado. En las siguientes tareas y en la figura 4.6 se ofrece información general de la sección y los componentes clave del proceso de asignación de prioridades a los riesgos.

Tareas y componentes principales

Tarea 1: elaborar la lista de nivel de resumen mediante clasificaciones amplias para estimar la probabilidad de repercusiones para la organización.  

Resultado: lista de nivel de resumen para identificar rápidamente la prioridad de los riesgos para la organización.

Tarea 2: revisar la lista de nivel de resumen con los participantes para empezar a alcanzar consenso en la prioridad de los riesgos y seleccionar los riesgos para la lista de nivel detallado.

Tarea 3: elaborar la lista de nivel detallado mediante el examen de los atributos detallados del riesgo en el entorno de negocios actual. Esto incluye indicaciones para determinar la estimación cuantitativa de cada riesgo.

Resultado: lista de nivel detallado que proporciona información exhaustiva de los riesgos principales para la organización.

Figura 4.6 Tareas de asignación de prioridades a los riesgos

Figura 4.6 Tareas de asignación de prioridades a los riesgos
Ver imagen a tamaño completo

Nota: el resultado de riesgos de nivel detallado se revisará con los participantes en el proceso de apoyo a la toma de decisiones descrito en el capítulo 5.

Preparación para el éxito

La asignación de prioridades a los riesgos para la organización no es una mera propuesta. El equipo de administración de riesgos de seguridad debe intentar predecir el futuro mediante la estimación de cuándo y cómo las posibles repercusiones pueden afectar a la organización y, a continuación, debe justificar estas predicciones ante los participantes. Un error habitual que cometen muchos equipos es "ocultar" las tareas empleadas para determinar la probabilidad y utilizar cálculos para representar la probabilidad en porcentajes u otras cifras de resultados a las que suponen que los responsables de negocios responderán más rápidamente. Pero la experiencia al desarrollar el proceso de administración de riesgos de seguridad de Microsoft ha demostrado que los participantes son más propensos a aceptar los análisis del equipo de administración de riesgos de seguridad si la lógica es clara durante el proceso de asignación de prioridades. El proceso se centra en la comprensión por parte de los participantes a lo largo del mismo. La lógica de asignación de prioridades debe ser lo más simple posible para lograr el consenso rápidamente y reducir los malentendidos. La experiencia en elaboración de evaluaciones de riesgos en el departamento de TI de Microsoft y otras empresas ha demostrado que las siguientes prácticas recomendadas resultan útiles para el equipo de administración de riesgos de seguridad durante el proceso de asignación de prioridades:

Analizar los riesgos durante el proceso de recopilación de datos. Debido a que la asignación de prioridades a los riesgos puede ocupar mucho tiempo, intente anticiparse a los riesgos controvertidos e inicie el proceso de asignación de prioridades lo más pronto posible. Este método abreviado es posible debido a que el equipo de administración de riesgos de seguridad es el único responsable del proceso de asignación de prioridades.

Lleve a cabo la investigación para generar credibilidad para estimar la probabilidad. Utilice los informes de auditoría anteriores y tenga en cuenta las tendencias del sector así como las incidencias de seguridad internas según resulte adecuado. Vuelva a consultar a los participantes según sea necesario para obtener información acerca de los controles actuales y la toma de conciencia de los riesgos específicos en sus entornos.

Programe tiempo suficiente en el proyecto para llevar a cabo investigaciones y realizar análisis de la efectividad y las capacidades del entorno de controles actual.

Recuerde a los participantes que el equipo de administración de riesgos de seguridad tiene la responsabilidad de determinar la probabilidad. El patrocinador ejecutivo también debe reconocer esta función y apoyar el análisis del equipo de administración de riesgos de seguridad.

Comunicar el riesgo en términos de negocios. Evite utilizar expresiones relacionadas con el miedo o jerga técnica en el análisis de asignación de prioridades. El equipo de administración de riesgos de seguridad debe comunicar el riesgo en unos términos que la organización comprenda y evitar la tentación de exagerar el nivel de peligro.

Reconciliar los nuevos riesgos con los anteriores. Al crear la lista de nivel de resumen, incorpore los riesgos de las evaluaciones anteriores. Esto permite que el equipo de administración de riesgos de seguridad realice un seguimiento de los riesgos en varias evaluaciones y proporcione la ocasión de actualizar los elementos de riesgo anteriores según sea necesario. Por ejemplo, si un riesgo anterior no se ha mitigado debido a los altos costos de mitigación, revise la probabilidad de que el riesgo se produzca y vuelva a tener en cuenta los cambios en la solución o costos de mitigación.

Asignación de prioridades a los riesgos de seguridad

En la siguiente sección se explica el proceso de elaboración de las listas de riesgos de nivel de resumen y detallado. Puede resultar útil imprimir las plantillas de apoyo para cada proceso que se encuentran en la sección de herramientas.

Asignación de prioridades a riesgos de nivel de resumen

La lista de nivel de resumen utiliza la declaración de repercusiones generada durante el proceso de proceso de recopilación de datos. La lista de declaración de repercusiones es el primero de los dos elementos de información de la vista de resumen. El segundo elemento de información es la estimación de probabilidades que ha determinado el equipo de administración de riesgos de seguridad. En las siguientes tres tareas se proporciona información general acerca del proceso de asignación de prioridades de nivel de resumen:

Tarea 1: determinar el valor de las repercusiones a partir de las declaraciones de repercusiones elaboradas en el proceso de recopilación de datos.

Tarea 2: estimar la probabilidad de las repercusiones para la lista de nivel de resumen.

Tarea 3: completar la lista de nivel de resumen mediante la combinación de los valores de repercusiones y de probabilidad por cada declaración de riesgo.

Tarea 1: Determinar el nivel de las repercusiones

La información de clase de activos y de exposición de activo obtenida en el proceso de recopilación de datos se debe resumir en un solo dato para determinar las repercusiones. Recuerde que las repercusiones son la combinación de la clase de activos y el alcance de exposición al activo. Utilice la siguiente figura para seleccionar el nivel por cada declaración de repercusiones.

Figura 4.7 Hoja de trabajo de análisis de riesgos: clase de activos y nivel de exposición (GARSHerramienta2)

Hoja de trabajo de análisis de riesgos: clase de activos y nivel de exposición (GARSHerramienta2)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: recuerde que el ejemplo de Woodgrove tenía tres declaraciones de repercusiones. En la siguiente lista se resumen estas declaraciones mediante la combinación de la clase de activos y el nivel de exposición:

1.

Repercusión de robo por parte de empleados de confianza: clase de activos de repercusión alta en la empresa y exposición baja. Según la figura anterior, esto implica una repercusión moderada.

2.

Repercusión de peligro de los hosts de la LAN: clase de activos de repercusión alta en la empresa y exposición alta causan una repercusión alta.

3.

Repercusión de peligro de los hosts remotos: clase de activos de repercusión alta en la empresa y exposición alta causan una repercusión alta.

Tarea 2: Estimar la probabilidad de nivel de resumen

Utilice las mismas categorías de probabilidad descritas en el proceso de recopilación de datos. Las categorías de probabilidad se incluyen a continuación como referencia:

Alta: muy probable, previsión de uno o varios ataques en un año.

Media: probable, previsión de ataque una vez al menos en dos a tres años.

Baja: no probable, no se prevé ningún ataque en tres años.

Ejemplo de Woodgrove: la asignación de prioridades a riesgos de nivel de resumen es el primer documento formal de la estimación del equipo de administración de riesgos de seguridad acerca de la probabilidad de riesgo. El equipo de administración de riesgos de seguridad debe estar preparado para proporcionar pruebas o casos que justifiquen sus estimaciones; por ejemplo, referencias a incidencias anteriores o a la efectividad de los controles actuales. En la siguiente lista se resumen los niveles de probabilidad para el ejemplo de Woodgrove:

1.

Probabilidad de robo por parte de empleados de confianza: baja. Woodgrove National Bank se enorgullece de contratar a empleados de confianza. El equipo directivo comprueba esta confianza mediante comprobaciones de antecedentes y efectúa auditorías aleatorias de la actividad de los asesores financieros. En el pasado no se han identificado incidencias relacionadas con el abuso por parte los empleados.

2.

Probabilidad de peligro de los hosts de la LAN: media. El departamento de TI ha formalizado recientemente su proceso de revisiones y configuración en la LAN debido a incoherencias en años anteriores. Debido a la naturaleza descentralizada del banco, en ocasiones los sistemas se han identificados como no conformes; no obstante, no se ha informado de incidencias en los últimos meses.

3.

Probabilidad de peligro de los hosts remotos: alta. Los hosts remotos normalmente no son compatibles durante largos períodos de tiempo. También se han identificado incidencias recientes relacionadas con infecciones de virus y gusanos en los hosts remotos.

Tarea 3: Completar la lista de nivel de resumen

Después de que el equipo de administración de riesgos de seguridad estime la probabilidad, utilice la siguiente figura para seleccionar la clasificación de riesgo de nivel de resumen.

Figura 4.8 Hoja de trabajo de análisis de riesgos: repercusiones y probabilidad (GARSHerramienta2)

Figura 4.8 Hoja de trabajo de análisis de riesgos: repercusiones y probabilidad (GARSHerramienta2)
Ver imagen a tamaño completo

Nota: según resulte adecuado para su organización, el nivel de riesgo de una repercusión media combinada con una probabilidad media se puede definir como riesgo alto. Definir los niveles de riesgo independientemente del proceso de evaluación de riesgos proporciona las indicaciones necesarias para tomar esta decisión. Recuerde que la guía de administración de riesgos de seguridad es una herramienta para facilitar el desarrollo de un programa de administración de riesgos exhaustivo y coherente. Cada organización debe definir lo que significa riesgo alto para su propia empresa.

Ejemplo de Woodgrove: la combinación de las clasificaciones de repercusiones y de probabilidad da como resultado las siguientes clasificaciones de riesgos:

1.

Riesgo de robo por parte de empleados de confianza: bajo (repercusión media, probabilidad baja)

2.

Riesgo de peligro de los hosts de la LAN: alto (repercusión alta, probabilidad media)

3.

Riesgo de peligro de los hosts remotos: alto (repercusión alta, probabilidad alta)

Como revisión, en la siguiente figura se representan todas las columnas de la lista de nivel de resumen, que también está incluida en GARSHerramienta2-Nivel de riesgo de resumen.xls

Figura 4.9 Hoja de trabajo de análisis de riesgos: lista de nivel de resumen (GARSHerramienta2)

Figura 4.9 Hoja de trabajo de análisis de riesgos: lista de nivel de resumen (GARSHerramienta2)
Ver imagen a tamaño completo

Según resulte adecuado para su organización, agregue columnas para incluir información de apoyo, por ejemplo, la columna "Fecha de identificación" para diferenciar los riesgos identificados en evaluaciones anteriores. También puede agregar columnas para actualizar las descripciones de riesgo o destacar cambios en el riesgo que se hayan producido desde la evaluación anterior. Debe adaptar el proceso de administración de riesgos de seguridad de Microsoft, incluidas las herramientas, para ajustarlo a sus necesidades específicas.

Ejemplo de Woodgrove: la siguiente figura completa el ejemplo de la lista de riesgos de nivel de resumen para Woodgrove Bank. Tenga en cuenta que las columnas "Probabilidad" y "Nivel de riesgo de resumen" se han agregado a la información de declaración de repercusiones para completar los elementos de una declaración de riesgo bien elaborada.

Figura 4.10 Ejemplo de lista de riesgos de nivel de resumen de Woodgrove Bank (GARSHerramienta2)

Figura 4.10 Ejemplo de lista de riesgos de nivel de resumen de Woodgrove Bank (GARSHerramienta2)
Ver imagen a tamaño completo

Revisión con los participantes

La siguiente tarea del proceso de asignación de prioridades es la revisión de los resultados de resumen con los participantes. Los objetivos son mantener informados a los participantes acerca del proceso de evaluación de riesgos y solicitar su colaboración para seleccionar los riesgos de los que se realizará un análisis más detallado. Utilice los siguientes criterios al seleccionar los riesgos que se incluirá en el proceso de asignación de prioridades de nivel detallado:

Riesgos de nivel alto: los riesgos clasificados como altos se deben incluir en la lista detallada. Cada riesgo alto debe tener una resolución después del proceso de apoyo a la toma de decisiones; por ejemplo, aceptar el riesgo o desarrollar una solución de mitigación.

Riesgos dudosos: cree el análisis de asignación de prioridades detallado para riesgos moderados que requieren una resolución. En algunas organizaciones se pueden llegar a incluir todos los riesgos moderados en la lista detallada.

Riesgos controvertidos: si un riesgo es nuevo, no se ha comprendido bien o los participantes tienen distintos puntos de vista, cree el análisis detallado para que los participantes tenga un conocimiento más preciso del riesgo.

Ejemplo de Woodgrove: tenga en cuenta que el riesgo "Robo por parte de empleados de confianza" se ha clasificado como Bajo en la lista de riesgos de nivel de resumen. En este punto del proceso de asignación de prioridades, todos los participantes comprenden perfectamente este riesgo. En el caso de Woodgrove, sirve de ejemplo de un riesgo que no es necesario graduar en el paso de asignación de prioridades a riesgos de nivel detallado. Para el resto del ejemplo de Woodgrove, sólo se asignan prioridades a los riesgos de peligro de hosts de la LAN y remotos.

Asignación de prioridades a riesgos de nivel detallado

La elaboración de la lista de riesgos de nivel detallado es la última tarea del proceso de evaluación de riesgos. La lista detallada también constituye una de las tareas más importantes porque permite que la organización comprenda la lógica subyacente en los riesgos más importantes para la empresa. Después de completar el proceso de evaluación de riesgos, en ocasiones la simple notificación de un riesgo bien documentado a los participantes basta para desencadenar la acción. En el caso de las organizaciones sin un programa de administración de riesgos formal, el proceso de administración de riesgos de seguridad de Microsoft puede suponer una experiencia reveladora.

Nota: si todos los participantes comprenden bien un riesgo, el detalle del nivel de resumen puede ser suficiente para determinar la solución de mitigación adecuada.

La lista de riesgos detallada aprovecha muchos de los elementos de información de la lista de nivel de resumen; no obstante, la vista detallada requiere que el equipo de administración de riesgos de seguridad sea más específico en sus descripciones de repercusiones y de probabilidad. Por cada riesgo de nivel de resumen, compruebe que cada combinación de amenaza y vulnerabilidad no se repite en los riesgos. Normalmente es posible que los riesgos de nivel de resumen no se describan lo suficiente como para que se asocien a controles específicos del entorno; en este caso, no podrá estimar la probabilidad de que suceda de forma precisa. Por ejemplo, puede mejorar la descripción de amenaza de la siguiente declaración de riesgo de nivel de resumen para describir dos riesgos distintos:

Declaración de riesgo de nivel de resumen:

En el plazo de un año, los servidores de alto valor se pueden ver afectados moderadamente por un gusano debido a configuraciones a las que no se han aplicado revisiones.

Declaración de nivel detallado 1:

En el plazo de un año, los servidores de alto valor pueden no estar disponibles durante tres días debido a una propagación de gusano provocada por configuraciones a las que no se han aplicado revisiones.

Declaración de nivel detallado 2:

En el plazo de un año, los servidores de alto valor pueden estar en peligro, lo que afectaría a la integridad de los datos, debido a una propagación de gusano provocada por configuraciones a las que no se han aplicado revisiones.

Nota: se recomienda familiarizarse con los análisis de riesgos detallados antes del proceso de recopilación de datos. Esto facilita al equipo de administración de riesgos de seguridad el plantear preguntas específicas durante los debates iniciales de recopilación de datos con los participantes y reduce la necesidad de reuniones de seguimiento.

La lista de riesgos de nivel detallado también requiere declaraciones específicas acerca de la efectividad del entorno de controles actual. Después de que el equipo de administración de riesgos de seguridad haya adquirido un conocimiento detallado de las amenazas y vulnerabilidades que afectan a la organización, se puede iniciar el trabajo de conocer los detalles de los controles actuales. El entorno de controles actual determina la probabilidad de riesgos para la organización. Si el entorno de controles es suficiente, la probabilidad de un riesgo para la organización es baja. Si no lo es, se debe definir una estrategia de riesgos; por ejemplo, aceptar el riesgo o desarrollar una solución de mitigación. Como práctica recomendada, se debe realizar un seguimiento de los riesgos independientemente de su nivel de riesgo final. Por ejemplo, si el riesgo se considerable aceptable, guarde esta información para evaluaciones futuras.

El último elemento de la lista de riesgos de nivel detallado es una estimación de cada riesgo en términos cuantificables y monetarios. La selección de un valor monetario para el riesgo no se produce hasta que se ha empezado a trabajar en la lista de nivel detallado debido al tiempo necesario para lograr el consenso entre los participantes. Es posible que el equipo de administración de riesgos de seguridad tenga que volver a consultar a los participantes para obtener datos adicionales.

Las cuatro tareas siguientes describen el proceso para elaborar una lista de nivel detallado de los riesgos. Puede ser útil imprimir la plantilla de la sección Herramientas denominada "GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls". El resultado es una lista detallada de riesgos que afectan a la organización. La estimación cuantitativa se determina después del valor de riesgo detallado y se describe en la siguiente sección.

Tarea 1: determinar las repercusiones y la exposición.

Tarea 2: identificar los controles actuales.

Tarea 3: determinar la probabilidad de repercusiones.

Tarea 4: determinar el nivel de riesgo detallado.

Tarea 1: determinar las repercusiones y la exposición

En primer lugar incorpore la clase de activos de la tabla de resumen en la plantilla detallada. A continuación, seleccione la exposición del activo. Tenga en cuenta que la clasificación de exposición de la plantilla detallada contiene granularidad adicional en comparación con el nivel de resumen. La clasificación de exposición de la plantilla detallada es un valor de 1 a 5. Recuerde que la clasificación de exposición define el alcance de los daños en el activo. Utilice las siguientes plantillas como guía para determinar la clasificación de exposición adecuada para su organización. Debido a que cada valor de las cifras de exposición puede afectar al nivel de repercusiones en el activo, inserte el mayor de los valores después de haber asignado las cifras. La primera cifra de exposición ayuda a cuantificar el alcance de las repercusiones de un ataque a la confidencialidad o integridad de los activos de negocios. La segunda cifra ayuda a cuantificar las repercusiones en la disponibilidad de los activos.

Figura 4.11 Hoja de trabajo de análisis de riesgos: clasificaciones de exposición de confidencialidad o integridad (GARSHerramienta3)

Figura 4.11 Hoja de trabajo de análisis de riesgos: clasificaciones de exposición de confidencialidad o integridad (GARSHerramienta3)
Ver imagen a tamaño completo

Después de tener en cuenta el alcance de los daños producidos por posibles ataques a la confidencialidad y la integridad, utilice la siguiente figura para determinar el nivel de repercusiones debido a la ausencia de disponibilidad del activo. Seleccione el valor más alto como el nivel de exposición de ambas tablas.

Figura 4.12 Hoja de trabajo de análisis de riesgos: clasificaciones de exposición de disponibilidad (GARSHerramienta3)

Figura 4.12 Hoja de trabajo de análisis de riesgos: clasificaciones de exposición de disponibilidad (GARSHerramienta3)
Ver imagen a tamaño completo

Utilice la figura como orientación recopilar clasificaciones de exposición por cada ataque posible. Si los debates de recopilación de datos no han proporcionado suficientes detalles acerca de los posibles niveles de exposición, es posible que tenga revisarlos con el responsable del activo específico. Tal como se ha mencionado en la sección de recopilación de datos, haga referencia a las descripciones de exposición anteriores durante los debates acerca de los riesgos según sea necesario.

Ejemplo de Woodgrove: en la siguiente lista se resumen las clasificaciones de exposición para los dos riesgos restantes:

1.

Clasificación de exposición de peligro de los hosts de la LAN: 4. Las repercusiones de negocios pueden ser graves y visibles externamente, pero no deben dañar por completo todos los datos financieros de consumidor. Por lo tanto, se ha seleccionado una clasificación de 4.

2.

Clasificación de exposición de peligro de los hosts remotos: 4 (igual que en el caso anterior).

Después de identificar la clasificación de exposición, estará preparado para determinar el valor de las repercusiones si rellena las columnas correspondientes de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls y calcula el valor. En el proceso de riesgos de nivel detallado, las repercusiones son el producto del valor de clase de repercusión y el factor de exposición. A cada clasificación de exposición se le asigna un porcentaje que refleja el alcance de los daños en el activo. Este porcentaje se denomina factor de exposición. El proceso de administración de riesgos de seguridad de Microsoft recomienda una escala lineal del 100% de exposición al 20%; realice los ajustes pertinentes según su organización. Cada valor de repercusión también se asocia a un valor cualitativo de alto, medio o bajo. Esta clasificación resulta útil para comunicar el nivel de repercusión y realizar el seguimiento de los elementos de riesgo en los cálculos de riesgos detallados. Como ayuda, en la siguiente figura también se muestran los posibles valores de repercusión para cada clase de repercusión.

Figura 4.13 Hoja de trabajo de análisis de riesgos: determinación de los valores de repercusión (GARSHerramienta3)

Figura 4.13 Hoja de trabajo de análisis de riesgos: determinación de los valores de repercusión (GARSHerramienta3)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: en la siguiente figura se muestra el modo de determinar los valores de clase de repercusión, clasificación de exposición y clasificación de efecto global mediante el ejemplo de Woodgrove.

Figura 4.14 Ejemplo de Woodgrove con valores detallados de clase de repercusión, clasificación de exposición y valor de repercusión (GARSHerramienta3)

Figura 4.14 Ejemplo de Woodgrove con valores detallados de clase de repercusión, clasificación de exposición y valor de repercusión (GARSHerramienta3)
Ejemplo de Woodgrove

Tarea 2: identificar los controles actuales

En GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls se describen los controles actuales de la organización que en este momento reducen la probabilidad de la amenaza y la vulnerabilidad definida en la declaración de repercusiones. En los cálculos de probabilidad detallada también se evalúa una clasificación de efectividad de los controles; no obstante, la documentación de los controles aplicables facilita la comunicación de los elementos de riesgo. Puede resultar útil organizar las descripciones de los controles en categorías conocidas de grupos de controles de administración, operaciones o técnicos. Esta información también es útil en el proceso de apoyo a la toma de decisiones descrito en el capítulo 5.

Ejemplo de Woodgrove: la siguiente representa una lista de ejemplo de los controles principales para el "riesgo de peligro de los hosts de la LAN". Consulte GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls para obtener descripciones de controles adicionales. Tenga en cuenta que las descripciones de los controles también se pueden emplear para justificar las clasificaciones de exposición:

Los asesores fiscales sólo pueden tener acceso a las cuentas de las que son responsables; por lo tanto, la exposición es inferior al 100%.

A todos los usuarios se les envían proactivamente avisos por correo electrónico para que se apliquen revisiones a los hosts o se actualicen.

El estado de las actualizaciones de antivirus y de seguridad se mide y aplica en la LAN cada pocas horas. Este control reduce el intervalo de tiempo en el que los hosts de la LAN son vulnerables a los ataques.

Tarea 3: determinar la probabilidad de repercusiones

La clasificación de probabilidad consta de dos valores. El primer valor determina la probabilidad de la vulnerabilidad existente en el entorno según los atributos de la misma y al ataque posible. El segundo valor determina la probabilidad de la vulnerabilidad existente en función de la efectividad de los controles actuales. Cada valor se representa mediante un intervalo de 1 a 5. Utilice las siguientes figuras como orientación para determinar la probabilidad de cada repercusión en la organización. A continuación, la clasificación de probabilidad se multiplicará por la clasificación de efecto para determinar la clasificación de riesgo relativo.

Nota: las figuras 4.15 y 4.17 han servido de ayuda al departamento de TI de Microsoft a comprender las probabilidades de que los riesgos se produzcan en sus entornos. Ajuste el contenido según resulte adecuado para su organización.

El grupo de seguridad de información se encarga del proceso de asignación de prioridades y debe adaptar los atributos de las prioridades según sea necesario. Por ejemplo, puede modificar las cifras para centrarse en vulnerabilidades específicas de aplicación en vez de en vulnerabilidad de infraestructura empresarial si el ámbito de evaluación está centrado en el desarrollo de aplicaciones. El objetivo es disponer de un conjunto coherente de criterios para evaluar el riesgo en el entorno.

En la siguiente figura se incluyen estos atributos de vulnerabilidad:

Población de piratas informáticos: la probabilidad de ataque normalmente aumenta a medida que se incrementa el tamaño y el nivel de conocimientos técnicos de la población de piratas informáticos.

Acceso remoto y local: la probabilidad normalmente aumenta si una vulnerabilidad se puede aprovechar de forma remota.

Visibilidad de vulnerabilidad: la probabilidad normalmente aumenta si una vulnerabilidad es conocida y está disponible de forma pública.

Automatización de ataque: la probabilidad normalmente aumenta si un ataque se puede programar para buscar automáticamente vulnerabilidades en entornos grandes.

Recuerde que la estimación de probabilidad de un ataque es subjetiva por naturaleza. Utilice los atributos anteriores como orientación para determinar y justificar las estimaciones de probabilidad. El equipo de administración de riesgos de seguridad debe basarse y promover su experiencia para seleccionar y justificar sus predicciones.

Figura 4.15 Hoja de trabajo de análisis de riesgos: evaluación de la vulnerabilidad (GARSHerramienta3)

Figura 4.15 Hoja de trabajo de análisis de riesgos: evaluación de la vulnerabilidad (GARSHerramienta3)
Ver imagen a tamaño completo

Seleccione la clasificación adecuada en la siguiente figura.

Figura 4.16 Hoja de trabajo de análisis de riesgos: evaluación del valor de probabilidad (GARSHerramienta3)

Figura 4.16 Hoja de trabajo de análisis de riesgos: evaluación del valor de probabilidad (GARSHerramienta3)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: para los hosts de la LAN y remotos, es probable que todos los atributos de vulnerabilidad de la categoría Alta se aprecien dentro y fuera del entorno LAN de Woodgrove en el futuro próximo. Por lo tanto, el valor de vulnerabilidad es de 5 para ambos riesgos.

En la siguiente figura se evalúa la efectividad de los controles actuales. Este valor es subjetivo por naturaleza y se basa en la experiencia del equipo de administración de riesgos de seguridad para comprender su entorno de controles. Responda cada pregunta y, después, sume los valores para determinar la clasificación final de los controles. Un valor menor significa que los controles son eficaces y pueden reducir la probabilidad de que se produzca un ataque.

Figura 4.17 Hoja de trabajo de análisis de riesgos: evaluación de la efectividad de los controles actuales (GARSHerramienta3)

Figura 4.17 Hoja de trabajo de análisis de riesgos: evaluación de la efectividad de los controles actuales (GARSHerramienta3)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: para mostrar el modo en que se pueden utilizar los valores de efectividad de los controles, en la siguiente tabla se resumen los valores sólo para el riesgo de peligro de los hosts de la LAN; consulte en GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls el ejemplo completo:

Tabla 4.2. Ejemplo de Woodgrove: valores de efectividad de los controles

Pregunta de efectividad de los controlesValorDescripción

¿El control se ha definido y exigido de forma eficaz?

0 (sí)

La creación de directivas y el control de cumplimiento de los hosts están bien definidos.

¿La toma de conciencia se comunica y sigue de forma eficaz?

0 (sí)

Se envían notificaciones periódicas a los usuarios y se llevan a cabo campañas de toma de conciencia generales.

¿Los procesos se han definido y puesto en práctica de forma eficaz?

0 (sí)

Se han documentado y seguido la medición y la aplicación de conformidad.

¿La tecnología o los controles existentes reducen la amenaza de forma eficaz?

1 (no)

Los controles actuales seguirán permitiendo un período de tiempo entre la vulnerabilidad y la aplicación de revisiones.

¿Son suficientes las prácticas de auditoría actuales para detectar el abuso o las deficiencias de control?

0 (sí)

La medición y la auditoría de conformidad son eficaces según las herramientas actuales.

Suma de todos los atributos de control:

1

 

A continuación, sume la cifra Vulnerabilidad (figura 4.16) al valor de la cifra Control actual (figura 4.17) e incorpórelo a la plantilla de nivel detallado. La plantilla se muestra en la siguiente figura como referencia:

Figura 4.18 Hoja de trabajo de análisis de riesgos: clasificación de probabilidad con control (GARSHerramienta3)

Figura 4.18 Hoja de trabajo de análisis de riesgos: clasificación de probabilidad con control (GARSHerramienta3)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: la clasificación de probabilidad total para el ejemplo de los hosts de la LAN es de 6 (valor de 5 para la vulnerabilidad más 1 para la efectividad del control).

Tarea 4: determinar el nivel de riesgo detallado

En la siguiente figura se muestra el resumen de nivel detallado para identificar el nivel de cada riesgo identificado. Aunque la evaluación de riesgos en un nivel detallado pueda parecer complicada, se puede hacer referencia a la lógica subyacente en cada tarea de la clasificación de riesgos mediante las figuras anteriores. Esta posibilidad de realizar el seguimiento de cada tarea en la declaración de riesgo proporciona un valor significativo cuando se ayuda a los participantes a comprender los detalles subyacentes del proceso de evaluación de riesgos.

Figura 4.19 Hoja de trabajo de análisis de riesgos: determinación del nivel de riesgo detallado (GARSHerramienta3)

Figura 4.19 Hoja de trabajo de análisis de riesgos: determinación del nivel de riesgo detallado (GARSHerramienta3)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: en la siguiente figura se muestra el ejemplo de la lista de riesgos detallada de Woodgrove Bank. Estos datos también se presentan en GARSHerramienta3.

Figura 4.20 Ejemplo de Woodgrove Bank para la lista de riesgos detallada (GARSHerramienta3)

Figura 4.20 Ejemplo de Woodgrove Bank para la lista de riesgos detallada (GARSHerramienta3)
Ver imagen a tamaño completo

En la figura anterior se muestra el contenido de la clasificación de riesgos y sus elementos de datos. Tal como se ha indicado anteriormente, la clasificación de riesgo es el producto de la clasificación de efecto (con valores de 1 a 10) y la clasificación de probabilidad (con valores de 0 a 10). De este modo se genera un intervalo de valores de 0 a 100. Al aplicar la misma lógica empleada en la lista de riesgos de nivel de resumen, el nivel de riesgo detallado también se puede comunicar en términos cualitativos de alto, medio o bajo. Por ejemplo, una repercusión media y una probabilidad alta generan una clasificación de riesgo alta. No obstante, la lista de nivel detallado ofrece especificidad agregada para cada nivel de riesgo, tal como se muestra en la siguiente figura.

Figura 4.21 Hoja de trabajo de análisis de riesgos: determinación de la clasificación cualitativa de resumen (GARSHerramienta3)

Figura 4.21 Hoja de trabajo de análisis de riesgos: determinación de la clasificación cualitativa de resumen (GARSHerramienta3)
Ver imagen a tamaño completo

Utilice los niveles de riesgo detallados sólo como referencia. Tal como se ha descrito en el capítulo 3, el equipo de administración de riesgos de seguridad debe poder comunicar a la organización, por escrito, el significado de los riesgos altos, medios y bajos. El proceso de administración de riesgos de seguridad de Microsoft sólo constituye una herramienta para identificar y administrar los riesgos en la organización de un modo coherente y repetible.

Cuantificación del riesgo

Tal como se ha descrito en el capítulo 2, el proceso de administración de riesgos de seguridad de Microsoft primero aplica un enfoque cualitativo para identificar y asignar prioridades a los riesgos de un modo oportuno y eficaz. Sin embargo, cuando se selecciona la estrategia de mitigación de riesgos óptima, la estimación del posible costo monetario de un riesgo también resulta una cuestión importante. Así, para los riesgos de prioridad alta o controvertidos, el proceso también proporciona indicaciones para determinar las estimaciones cuantitativas. Las tareas de cuantificación de los riesgos se llevan a cabo después del proceso de riesgos de nivel detallado debido al tiempo y esfuerzos considerables que se necesitan para alcanzar un acuerdo en las estimaciones monetarios. Puede dedicar mucho tiempo en cuantificar los riesgos bajos si ha cuantificado los riesgos al principio del proceso.

Como es evidente, una estimación monetaria resulta útil al comparar los distintos costos de las estrategias de mitigación de riesgos; no obstante, debido a la naturaleza subjetiva de la valoración de activos intangibles, no existe un algoritmo exacto para cuantificar el riesgo. El ejercicio de estimar una pérdida monetaria exacta en realidad puede retrasar la evaluación de riesgos debido a los desacuerdos entre los participantes. El equipo de administración de riesgos de seguridad debe estipular las expectativas de que la estimación cuantitativa sólo es uno de los muchos valores para determinar la prioridad o el costo posible de un riesgo.

Una ventaja de utilizar el modelo cualitativo para asignar prioridades a los riesgos radica en la posibilidad de aprovechar las descripciones cualitativas para aplicar un algoritmo cuantitativo de forma coherente. Por ejemplo, el enfoque cuantitativo descrito a continuación emplea la clase de activos y las clasificaciones de exposición identificados en las discusiones de riesgos facilitadas documentadas con los participantes en la sección de recopilación de datos de este capítulo.

De forma similar al enfoque cualitativo, la primera tarea del método cuantitativo consiste en determinar el valor total del activo. En la segunda tarea se determina el alcance de daños en el activo, seguido de la estimación de la probabilidad de que suceda. Para contribuir a reducir el grado de subjetividad en la estimación cuantitativa, el proceso de administración de riesgos de seguridad de Microsoft recomienda utilizar las clases de activos para determinar el valor total del activo y el factor de exposición para determinar el porcentaje de daños en el activo. Este enfoque limita el resultado cuantitativo a tres clases de activos y cinco factores de exposición, o 15 posibles valores de activo cuantitativos. Sin embargo, el valor que estima la probabilidad no está limitado. Según resulte adecuado para su organización, puede optar por comunicar la probabilidad en términos de intervalo de tiempo o puede intentar en distribuir anualmente el costo del riesgo. El objetivo es encontrar un equilibrio entre la facilidad de seleccionar una clasificación relativa en el enfoque cualitativo y la dificultad de la valoración monetaria y estimar la probabilidad en el enfoque cuantitativo.

Utilice las cinco tareas siguientes para determinar el valor cuantitativo:

Tarea 1: asignar un valor monetario a cada clase de activos de la organización.

Tarea 2: introducir el valor de activo de cada riesgo.

Tarea 3: generar el valor de expectativa de pérdida simple.

Tarea 4: determinar la frecuencia anual.

Tarea 5: determinar la expectativa de pérdida anual.

Nota: las tareas asociadas a la cuantificación de riesgos de seguridad son similares a los pasos utilizados en el sector de seguros para estimar el valor de activo, el riesgo y la cobertura adecuada. En el momento de redactar esta guía, están empezando a surgir pólizas de seguro para riesgos de seguridad de información. A medida que el sector de seguros adquiera experiencia en la evaluación de los riesgos de seguridad de información, herramientas como tablas actuariales se convertirán en referencias valiosas para cuantificar los riesgos.

Tarea 1: asignar valores monetarios a las clases de activos

Mediante las definiciones de las clases de activos descritas en la sección de recopilación de datos facilitados, inicie la cuantificación de los activos que se ajusten a la descripción de la clase de repercusión alta en la empresa. Esto permite que el equipo de administración de riesgos de seguridad se centre primero en los activos más importantes para la organización. Por cada activo, asigne valores monetarios para la valoración tangible e intangible para la organización. Utilice las siguientes categorías como referencia para estimar el costo total de repercusiones para cada activo:

Costo de reemplazo

Costos de sustentación/mantenimiento

Costos de redundancia/disponibilidad

Reputación de la organización/mercado

Productividad de la organización

Ingresos anuales

Ventaja competitiva

Rendimiento operativo interno

Responsabilidad jurídica/normativa

Nota: la hoja de cálculo GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado contiene una hoja de trabajo que puede facilitar este proceso.

Después de disponer de las estimaciones monetarias de cada categoría, sume los valores para determinar la estimación del activo. Repita este proceso para todos los activos representados en la clase de repercusión alta en la empresa. El resultado debe ser una lista de activos con prioridades y una estimación aproximada de su valor monetario asociado para la organización. Repita este proceso para los activos de las clases de repercusión moderada y baja en la empresa.

Con cada clase de activos, seleccione un valor monetario para representar la valoración de la clase de activos. Un enfoque conservador consiste en seleccionar el valor de activo mínimo en cada clase. Se utilizará para representar el valor de un activo según la clase de activos seleccionada por los participantes durante los debates de recopilación de datos facilitados. Este enfoque simplifica la tarea de asignar valores monetarios a cada activo ya que se emplean las clases de activos seleccionadas en los debates de recopilación de datos.

Nota: otro enfoque para valorar los activos consiste en trabajar con el equipo de administración de riesgos financieros que puede disponer de una tasación de seguros y datos de cobertura para activos específicos.  

Uso de la importancia relativa como orientación

Si tiene dificultades para seleccionar los valores de clase de activos con el método anterior, otro enfoque consiste en emplear las directrices asociadas a la definición de importancia relativa en los estados financieros elaborados por las empresas de EE.UU. con participación en el mercado de valores. La comprensión de las directrices de importancia relativa por parte de su organización puede resultar útil en la selección del valor de activo alto para la estimación cuantitativa.

El organismo Financial Accounting Standards Board (FASB) documenta lo siguiente en relación con los estados financieros de las empresas con participación en el mercado de valores: "las disposiciones de este estado no se tienen que aplicar a los elementos inmateriales". Para obtener más información, consulte www.sec.gov/interps/account/sab99.htm.

Es importante tener en cuenta este pasaje porque la FASB no dispone de un algoritmo para determinar lo que es material o inmaterial y advierte en contra del uso de métodos cuantitativos estrictos. En su lugar, recomienda específicamente tener en cuenta todas las consideraciones pertinentes: "la FASB rechaza un enfoque formulista como alivio de 'la pesada tarea de tomar decisiones acerca de la importancia relativa' en favor de un enfoque que tenga en cuenta todas las consideraciones pertinentes".

Aunque no existe una fórmula, el organismo Security Exchange Commission de EE.UU, en el número 99 de Staff Accounting Bulletin, reconoce el uso de una regla general de referencia en la contabilidad pública que puede servir de ayuda para determinar las declaraciones erróneas de activos materiales. Para obtener más información, consulte www.sec.gov/interps/account/sab99.htm. La regla general de referencia mencionada es el cinco por ciento de los valores del estado financiero. Por ejemplo, una forma de estimar la importancia relativa de un ingreso neto de ocho mil millones de dólares sería analizar las posibles declaraciones erróneas de 400 millones de dólares o el conjunto de declaraciones erróneas que puedan sumar 400 millones de dólares.

Las directrices de importancia material varían considerablemente según la organización. Utilice las directrices de definición de importancia relativa sólo como referencia. El proceso de administración de riesgos de seguridad de Microsoft en modo alguno pretende representar la posición financiera de una organización.

El uso de las directrices de importancia relativa puede resultar útil para estimar el valor de los activos de repercusión alta en la empresa. No obstante, dichas directrices pueden no resultar adecuadas al seleccionar estimaciones moderadas y bajas. Se ha de reconocer que la elaboración de la estimación de repercusiones es subjetiva por naturaleza. El objetivo es seleccionar valores que sean significativos para la organización. Para determinar los valores moderados y bajos, es aconsejable seleccionar un valor monetario que sea significativo en relación con el importe dedicado a la tecnología de la información en la organización. También puede optar por hacer referencia a los costos actuales de los controles específicos de seguridad que se aplicarán a cada clase de activos. Por ejemplo, en el caso de los activos de clase de repercusión moderada, se puede comparar el valor con el gasto monetario actual en controles básicos de infraestructura de red. Por ejemplo, ¿cuál es el costo total estimado para software, hardware y recursos operativos para proporcionar servicios antivirus a la organización? Esto proporciona una referencia para comparar los activos con un importe monetario conocido en la organización; otro ejemplo: un valor de clase de repercusión moderada puede valorarse tanto como el gasto actual en servidores de seguridad para proteger los activos.

Ejemplo de Woodgrove: el equipo de administración de riesgos de seguridad de Woodgrove ha trabajado con los participantes clave para asignar valores monetarios a las clases de activos. Debido a que en Woodgrove no tenían experiencia en administración de riesgos, la empresa decidió utilizar las directrices de importancia relativa con el fin de elaborar una línea de base para valorar activos. Piensa revisar las estimaciones a medida que adquiera experiencia. Woodgrove genera un ingreso neto aproximado de 200 millones de dólares al año. Al aplicar el 5% de las directrices de importancia relativa, a la clase de activos de repercusión alta en la empresa se le asigna un valor de 10 millones de dólares. Según los gastos en TI anteriores que se han producido en Woodgrove, los participantes han seleccionado un valor de 5 millones de dólares para los activos de repercusión media y 1 millón de dólares para los de repercusión baja. Se han seleccionado estos valores porque los grandes proyectos de TI emprendidos para dar apoyo y proteger los activos digitales en Woodgrove históricamente han estado en estos intervalos. Dichos valores también se volverán a revisar durante el siguiente ciclo de administración de riesgos anual.

Tarea 2: identificar el valor del activo

Después de determinar los valores de las clases de activos de la organización, identifique y seleccione el valor adecuado para cada riesgo. El valor de clase de activos debe estar alineado con el grupo de clase de activos seleccionado por los participantes en los debates de recopilación de datos. Se trata de la misma clase que se utiliza en las listas de riesgos de nivel de resumen y detallado. Este enfoque reduce el debate acerca del valor de un activo específico porque el valor de clase de activos ya se ha determinado. Recuerde que el proceso de administración de riesgos de seguridad de Microsoft intenta alcanzar un equilibrio entre precisión y eficacia.

Ejemplo de Woodgrove: los datos financieros de consumidor se han identificado como de repercusión alta en la empresa durante los debates de recopilación de datos; por lo tanto, el valor de activo es de 10 millones de dólares según el valor de repercusión alta definido anteriormente.

Tarea 3: generar el valor de expectativa de pérdida simple

A continuación, determinará el alcance de los daños en el activo. Utilice la misma clasificación de exposición identificada en los debates de recopilación de datos para determinar el porcentaje de daños en el activo. Este porcentaje se denomina factor de exposición. Se utiliza la misma clasificación en las listas de riesgos de nivel de resumen y detallado. En enfoque conservador consiste en aplicar una escala móvil lineal para cada valor de clasificación de exposición. El proceso de administración de riesgos de seguridad de Microsoft recomienda una escala móvil de 20% para cada valor de clasificación de exposición. Puede modificarla según resulte adecuado para su organización.

La última tarea consiste en multiplicar el valor de activo por el factor de exposición para generar la estimación cuantitativa de las repercusiones. En los modelos cuantitativos clásicos este valor se denomina expectativa de pérdida simple, por ejemplo, el valor de activo multiplicado por el factor de exposición.

En la siguiente figura se proporciona como referencia un ejemplo de un enfoque cuantitativo simple. Tenga en cuenta que en el ejemplo siguiente simplemente se divide la clase de repercusión alta en la empresa por la mitad para determinar los valores moderados y bajos. Es posible que tenga que ajustar estos valores a medida que adquiera experiencia en el proceso de evaluación de riesgos.

Figura 4.22 Hoja de trabajo de análisis de riesgos: cuantificación de la expectativa de pérdida simple (GARSHerramienta3)

Figura 4.22 Hoja de trabajo de análisis de riesgos: cuantificación de la expectativa de pérdida simple (GARSHerramienta3)
Ver imagen a tamaño completo

Ejemplo de Woodgrove: en la siguiente figura se representan los valores para determinar la expectativa de pérdida simple de los dos riesgos de ejemplo.

Figura 4.23 Ejemplo de expectativa de pérdida simple de Woodgrove Bank; nota: el valor en dólares se expresa en millones (GARSHerramienta3)

Figura 4.23 Ejemplo de expectativa de pérdida simple de Woodgrove Bank; nota: el valor en dólares se expresa en millones (GARSHerramienta3)
Ver imagen a tamaño completo

Tarea 4: determinar la frecuencia anual

Después de calcular la expectativa de pérdida simple, se tiene que incorporar la probabilidad para concluir la estimación de riesgo monetario. Un enfoque común consiste en estimar la frecuencia con que se puede producir el riesgo en el futuro. Esta estimación después se convierte en una estimación anual. Por ejemplo, si el grupo de seguridad de información piensa que un riesgo se puede producir dos veces al año, la frecuencia anual es dos. Si un riesgo se puede producir una vez cada tres años, la frecuencia anual es un tercio, 33% o 0,33. Como ayuda para estimar la probabilidad, utilice el análisis cuantitativo anterior en el cálculo de riesgo detallado. Utilice lo siguiente como orientación para identificar y comunicar el valor cuantitativo con el fin de determinar la frecuencia anual.

Figura 4.24 Cuantificación de la frecuencia anual (GARSHerramienta3)

Figura 4.24 Cuantificación de la frecuencia anual (GARSHerramienta3)
Ver imagen a tamaño completo

Utilice la figura anterior sólo como orientación. El grupo de seguridad de información debe seleccionar un valor para representar la frecuencia anual.

Ejemplo de Woodgrove: el equipo de administración de riesgos de seguridad determina las siguientes frecuencias anuales para los riesgos de ejemplo:

1.

Frecuencia anual de hosts de LAN: según la evaluación cualitativa de probabilidad media, el equipo de administración de riesgos de seguridad estima que el riesgo se presentará al menos una vez cada dos años; por lo tanto, la frecuencia anual estimada es 0,5.

2.

Frecuencia anual de hosts remotos: de nuevo, según la evaluación cualitativa de probabilidad alta, el equipo de administración de riesgos de seguridad estima que el riesgo se presentará al menos una vez al año; por lo tanto, la frecuencia anual estimada es 1.

Tarea 5: determinar la expectativa de pérdida anual

Para concluir la ecuación cuantitativa, multiplique la frecuencia anual por la expectativa de pérdida simple. El producto se representa como la expectativa de pérdida anual.

Expectativa de pérdida anual = expectativa de pérdida simple * frecuencia anual

Con la expectativa de pérdida anual se intenta representar el costo posible del riesgo en términos anuales. Aunque puede servir de ayuda a los participantes con mentalidad financiera para estimar los costos, el equipo de administración de riesgos de seguridad tiene que volver a incidir en el hecho de que las repercusiones en la organización no se ajustan exactamente a los gastos anuales. Si se produce un riesgo, las repercusiones en la organización se pueden producir por completo.

Después de determinar la estimación cuantitativa del riesgo, consulte la hoja de trabajo de riesgos detallados, que contiene una columna adicional para documentar referencias o explicaciones que desee incluir con la estimación cuantitativa. Utilice esta columna para facilitar la justificación de la estimación cuantitativa y aportar pruebas según resulte adecuado.

Ejemplo de Woodgrove: en la siguiente tabla se muestran los cálculos básicos con el fin de determinar la expectativa de pérdida anual para cada riesgo de ejemplo. Tenga en cuenta que cambiar un valor puede modificar considerablemente el valor de expectativa de pérdida anual. Utilice los datos cualitativos para facilitar la justificación y la determinación de la estimación cuantitativa.

Figura 4.25 Ejemplo de expectativa de pérdida anual de Woodgrove Bank; nota: los valores en dólares se expresan en millones (GARSHerramienta3)

Figura 4.25 Ejemplo de expectativa de pérdida anual de Woodgrove Bank; nota: los valores en dólares se expresan en millones (GARSHerramienta3)
Ver imagen a tamaño completo

Resumen

La fase de evaluación de riesgos del ciclo de administración de riesgos es necesaria para administrar los riesgos en la organización. Al llevar a cabo los pasos de planeamiento, recopilación de datos facilitados y asignación de prioridades, recuerde que el propósito de la fase de evaluación de riesgos no es sólo identificar y asignar prioridades a los riesgos, sino hacerlo de un modo eficaz y oportuno. El proceso de administración de riesgos de seguridad de Microsoft utiliza un enfoque híbrido de análisis cualitativo para identificar y clasificar rápidamente los riesgos; a continuación, emplea los atributos financieros del análisis cuantificado para ofrecer una definición más precisa de los riesgos.

Facilitar el éxito en la fase de apoyo a la toma de decisiones

Después de que el equipo de administración de riesgos de seguridad asigne prioridades a los riesgos para la organización, debe comenzar el proceso para identificar las estrategias de mitigación de riesgos adecuadas. Con el fin de facilitar a los participantes la identificación de las posibles soluciones de mitigación de riesgos, el equipo debe crear requisitos funcionales que contribuyan a definir el ámbito de la estrategia de mitigación para el responsable de mitigación adecuado. La tarea de definición de requisitos funcionales se describe en el proceso de apoyo a la toma de decisiones global en el capítulo 5, "Apoyo a la toma de decisiones".


**
**

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft