Guía de administración de riesgos de seguridad

Capítulo 5: Apoyo a la toma de decisiones

Publicado: 15/10/2004

En esta página

	Información general
	Identificación y comparación de controles
	Resumen

Información general

Su organización ya debe haber terminado la fase de evaluación de riesgos y haber desarrollado una lista de prioridades de los riesgos para los activos más valiosos. Ahora debe afrontar los riesgos más importantes mediante la determinación de las acciones adecuadas para mitigarlos. Esta fase se denomina apoyo a la toma de decisiones. Durante la fase anterior, el equipo de administración de riesgos de seguridad ha identificado los activos, las amenazas a dichos activos, las vulnerabilidades que tales amenazas pueden aprovechar para efectuar posibles ataques en los activos y los controles ya establecidos para proteger los activos. A continuación, el equipo de administración de riesgos de seguridad ha elaborado una lista de prioridades de riesgos.

El proceso de apoyo a la toma de decisiones incluye un análisis de costo-beneficio formal con funciones y responsabilidades definidas en los límites organizativos. El análisis de costo-beneficio proporciona una estructura coherente y exhaustiva para identificar, determinar el alcance y seleccionar la solución más eficaz y asequible para reducir el riesgo a un nivel aceptable. De forma similar al proceso de evaluación de riesgos, el análisis de costo-beneficio requiere definiciones de función estrictas para que funcione de forma eficaz. Asimismo, antes de efectuar el análisis de costo-beneficio, el equipo de administración de riesgos de seguridad debe garantizar que todos los participantes, incluido el patrocinador ejecutivo, han reconocido y aceptado el proceso.

Durante la fase de apoyo a la toma de decisiones, el equipo de administración de riesgos de seguridad debe determinar cómo afrontar los riesgos clave del modo más eficaz y asequible. El resultado final serán planes claros para controlar, aceptar, transferir o evitar cada uno de los riesgos principales identificados en el proceso de evaluación de riesgos. Los seis pasos de la fase de apoyo a la toma de decisiones son:

1.	Definir los requisitos funcionales.
2.	Seleccionar las soluciones de control.
3.	Revisar las soluciones según los requisitos.
4.	Estimar la reducción del nivel de riesgo que cada control proporciona.
5.	Estimar los costos de cada solución.
6.	Seleccionar la estrategia de mitigación de riesgos.

En la figura 5.1, a continuación, se ilustran estos seis pasos y el modo en que la fase de apoyo a la toma de decisiones se relaciona con el proceso de administración de riesgos de seguridad global de Microsoft.

Figura 5.1 Proceso de administración de riesgos de seguridad de Microsoft: Fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

A la hora comparar el valor de un determinado control con otro, no hay fórmulas simples. El proceso puede ser complejo por varios motivos. Por ejemplo, algunos controles afectan a varios activos. El equipo de administración de riesgos de seguridad debe ponerse de acuerdo en el modo de comparar los valores de los controles que afectan a distintas combinaciones de activos. Además, existen costos asociados a controles que abarcan más que la implementación de dichos controles. Entre las preguntas relacionadas que se deben plantear se incluyen:

•	¿Cuánto tiempo estará efectivo el control?
•	¿Cuántas horas de mano de obra por año se necesitarán para supervisar y mantener el control?
•	¿Cómo resultará de incómodo el control para los usuarios?
•	¿Cuántos cursos se necesitarán para los responsables de implementar, supervisar y mantener el control?
•	¿El costo del control es razonable, en relación con el valor del activo?

En el resto de este capítulo se tratarán las respuestas a estas preguntas.

Obtendrá éxito durante el proceso de apoyo a la toma de decisiones si sigue un camino definido y si los participantes comprenden sus funciones correspondientes en cada paso. En el siguiente diagrama se ilustra el modo en que el equipo de administración de riesgos de seguridad lleva a cabo el proceso de apoyo a la toma de decisiones. Los responsables de mitigación son los encargados de proponer controles que reducirán el riesgo y, a continuación, de determinar el costo de cada control. Por cada control propuesto, el equipo de administración de riesgos de seguridad estima la reducción del nivel de riesgo que se espera que el control proporcione. Con estos elementos de información, el equipo puede llevar a cabo un análisis de costo-beneficio eficaz del control para determinar si recomienda su implementación. Posteriormente, el comité de dirección de seguridad decide los controles que se implementarán.

Figura 5.2 Información general acerca de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

La definición clara de las funciones reduce las demoras parcialmente porque sólo un grupo es el responsable de la decisión. No obstante, la experiencia demuestra que la efectividad global del programa de administración de riesgos aumenta si cada responsable colabora con el resto de los participantes.

Nota: la administración de riesgos es un ciclo perpetuo, por lo que mantener un espíritu cooperativo aumenta la moral de los participantes y puede reducir realmente el riesgo de la empresa si se les permite que reconozcan las ventajas de sus aportaciones y actúan de forma oportuna para reducir el riesgo. Como resulta evidente, debe procurar mantener y promover esta actitud a lo largo de los procesos de administración de riesgos y de apoyo a la toma de decisiones.

Información necesaria para la fase de apoyo a la toma de decisiones

Sólo hay un elemento de información de la fase de evaluación de riesgos que se necesita para la fase de apoyo a la toma de decisiones: la lista de prioridades de los riesgos que se tienen que mitigar. Si ha seguido los procedimientos descritos en el capítulo 4, "Evaluación del riesgo", habrá registrado esta información en la hoja de trabajo Riesgo detallado de la hoja de cálculo GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls de Microsoft® Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta guía y los archivos relacionados. Seguirá utilizando la misma hoja de trabajo durante esta fase del proceso.

Participantes de la fase de apoyo a la toma de decisiones

Los participantes de la fase de apoyo a la toma de decisiones son similares a los de la fase de evaluación de riesgos; de hecho, la mayoría, si no todos, de los miembros de equipo habrán participado en la fase anterior. El informe de costo-beneficio informa de la mayoría de las tareas del proceso de apoyo a la toma de decisiones. No obstante, antes de iniciar el análisis de costo-beneficio, asegúrese de que todos los participantes comprenden sus funciones correspondientes.

En la tabla siguiente se resumen las funciones y las responsabilidades principales de cada grupo en el proceso de apoyo a la toma de decisiones.

Tabla 5.1: Funciones y responsabilidades en el programa de administración de riesgos

Función	Responsabilidad
Operaciones de negocios	Identifica los controles de procedimiento disponibles para administrar el riesgo
Responsable de negocios	Se encarga del análisis de costo-beneficio de los activos
Finanzas	Ayuda en el análisis de costo-beneficio, puede ayudar en el desarrollo y control presupuestario
Recursos humanos	Identifica los requisitos de cursos de personal y los controles según sea necesario
Tecnología de la información (TI): arquitectura	Identifica y evalúa las posibles soluciones de control
Tecnología de la información: ingeniería	Determina el costo de las soluciones de control y cómo implementarlas
Tecnología de la información: operaciones	Implementa las soluciones de control técnico
Auditoría interna	Identifica los requisitos de cumplimiento y revisa la efectividad de los controles
Departamento jurídico	Identifica los controles jurídicos, de directiva y contractuales, y valida las estimaciones de valor creadas para las repercusiones en la marca, la responsabilidad jurídica y otros asuntos de negocios
Relaciones públicas	Valida las estimaciones de valor creadas para las repercusiones en la marca, la responsabilidad jurídica y otros asuntos de negocios
Comité directivo de seguridad	Selecciona las soluciones de control en función de las recomendaciones del equipo de proyecto de administración de riesgos de seguridad
Equipo de administración de riesgos de seguridad	Define los requisitos funcionales de los controles para cada riesgo, notifica el estado de proyecto a los participantes y usuarios afectados según sea necesario

El equipo de administración de riesgos de seguridad debe asignar un técnico de seguridad para cada riesgo identificado. Un único punto de contacto reduce el riesgo de que el equipo de administración de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso nítido a lo largo del análisis de costo-beneficio.

Herramientas proporcionadas en la fase de apoyo a la toma de decisiones

La información recopilada en esta fase del proceso se debe registrar en la hoja de trabajo Riesgo detallado de la hoja de trabajo GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls de Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta guía y los archivos relacionados.

Resultados necesarios para la fase de apoyo a la toma de decisiones

Durante esta fase del proceso de administración de riesgos de seguridad de Microsoft, definirá y seleccionará varios elementos clave de información acerca de cada uno de los riesgos principales que se han identificado durante la fase de evaluación de riesgos. En la siguiente tabla se resumen estos elementos clave y en las secciones posteriores de este capítulo se describen en detalle.

Tabla 5.2: Resultados necesarios para la fase de apoyo a la toma de decisiones

Información que se recopilará	Descripción
Decisión acerca de cómo se afrontará cada riesgo	Si se controlará, aceptará, transferirá o evitará cada uno de los riesgos principales
Requisitos funcionales	Declaraciones que describen la funcionalidad necesaria para mitigar el riesgo
Posibles soluciones de control	Lista de controles identificados por los responsables de mitigación y el equipo de administración de riesgos de seguridad que pueden resultar eficaces para mitigar cada riesgo
Reducción de riesgo de cada solución de control	Evaluación de cada solución de control propuestas para determinar en qué medida se reducirá el nivel de riesgo para el activo
Costo estimado de cada solución de control	Todos los costos asociados a la adquisición, implementación, asistencia y medición de cada control propuesto
Lista de soluciones de control que se implementarán	Selección efectuada mediante un análisis de costo-beneficio

Consideraciones acerca de las opciones de apoyo a la toma de decisiones

Las organizaciones disponen de dos tácticas básicas en lo que se refiere al modo en que afrontan el riesgo: pueden aceptar un riesgo o pueden implementar controles para reducir el riesgo. Si optan por aceptar un riesgo, pueden decidir transferirlo por completo, o una parte de él, a un tercero, como una empresa de seguros o una empresa de servicios administrados. En las dos siguientes secciones se examinarán estos dos enfoques del riesgo: aceptación o implementación de controles que faciliten la reducción del riesgo.

Nota: muchos especialistas de administración de riesgos de seguridad creen que existe otra forma de afrontar cada riesgo: evitarlo. Pero es importante tener presente que cuando se opta por evitar un riesgo, se está decidiendo detener cualquier actividad que presente el riesgo. En relación con la administración de riesgos de seguridad, para evitar un riesgo las organizaciones deben dejar de utilizar el sistema de información que incluye el riesgo. Por ejemplo, si el riesgo es que "en un año, los servidores a los que no se hayan aplicado revisiones pueden estar en peligro por el software malintencionado, lo que puede poner en peligro la integridad de los datos financieros", la única forma de evitar un riesgo es dejar de utilizar los servidores, lo que, con toda probabilidad, no es una opción realista. En el proceso de administración de riesgos de seguridad de Microsoft se supone que las organizaciones sólo están interesadas en examinar activos que proporcionen valor de negocio y permanezcan en servicio. Por lo tanto, en esta guía no se tratará la evitación del riesgo como una opción.

Aceptación del riesgo actual

El comité directivo de seguridad debe optar por aceptar un riesgo actual si determina que no hay controles asequibles para reducir productivamente el riesgo. Esto no significa que la organización no puede afrontar de forma eficaz el riesgo mediante la implementación de uno o varios controles, sino que significa que el costo de implementar el control o los controles, o el efecto de dichos controles en la capacidad de desarrollar el negocio de la empresa, es demasiado alto para el valor del activo que necesita protección. Por ejemplo, tenga en cuenta el siguiente escenario:

Un equipo de administración de riesgos de seguridad determina que uno de los riesgos más importantes para los activos clave de la organización es la dependencia de las contraseñas para la autenticación de los usuarios cuando inician sesión en la red corporativa. El equipo identifica que la implementación de tecnología de autenticación de dos factores, como las tarjetas inteligentes, sería la forma más eficaz de reducir y, en última instancia, eliminar el uso de contraseñas para la autenticación. A continuación, el responsable de mitigación calcula el costo de la implementación de tarjetas inteligentes en toda la organización y su efecto en los sistemas operativos y aplicaciones existentes de la organización. El costo de la implementación es bastante alto, pero puede estar justificado; sin embargo, el equipo averigua que muchas de las aplicaciones de negocios desarrolladas internamente de la organización se basan en la autenticación basada en contraseña y que la reescritura o reemplazo de dichas aplicaciones resultaría excesivamente caro y se tardarían varios años. Finalmente, el equipo decide no recomendar, en un futuro inmediato, el uso de tarjetas inteligentes para todos los empleados al comité directivo de seguridad. Pero, de hecho, se puede llegar a un compromiso: se puede requerir que los usuarios de cuentas de altos privilegios o confidenciales, como administradores de dominio y ejecutivos, se autentiquen con tarjetas inteligentes. El comité directivo de seguridad toma la decisión final de seguir la recomendación del equipo de administración de riesgos de seguridad: no se requieren tarjetas inteligentes para todos los empleados.

Una variación de la aceptación del riesgo es la transferencia del mismo a un tercero. Las pólizas de seguro para los activos de TI están empezando a estar disponibles. Como alternativa, las organizaciones pueden contratar a otras empresas especializadas en los servicios de seguridad administrada; el subcontratista puede asumir toda o parte de la responsabilidad de proteger los activos de TI de la organización.

Implementación de controles para reducir el riesgo

Los controles, que en ocasiones se denominan contramedidas o protecciones, son medios organizativos, de procedimiento o técnicos de administrar los riesgos. Los responsables de mitigación, con el apoyo del equipo de administración de riesgos de seguridad, identifican todos los posibles controles, calculan el costo de la implementación de cada control, determinan el resto de los costos relacionados con el control (como las molestias a los usuarios o el costo del mantenimiento continuo del control) y evalúan la reducción del nivel de riesgo posible con cada control. Toda esta información permite que el equipo lleve a cabo un análisis de costo-beneficio para cada control propuesto. Los controles que reduzcan con más eficacia el riesgo para los activos clave a un costo razonable para la organización son los controles cuya implementación el equipo recomendará con más entusiasmo.

Claves para el éxito

De forma similar a la fase de evaluación de riesgos, la definición de unas expectativas razonables es fundamental si se desea que la fase de apoyo a la toma de decisiones tenga éxito. El apoyo a la toma de decisiones requiere aportaciones importantes de distintos grupos que representan a toda la empresa. Si alguno de estos grupos no comprende o participa activamente en el proceso, la eficacia de todo el programa puede estar en peligro. Asegúrese de explicar de forma clara lo que se espera de cada participante durante la fase de apoyo a la toma de decisiones, incluidas las funciones, las responsabilidades y el grado de participación.

Creación de consenso

Es importante que todo el equipo de administración de riesgos de seguridad tome decisiones por consenso en la medida de lo posible; sin él, los comentarios de los miembros en contra pueden socavar las recomendaciones después de que el equipo las presente al comité directivo de seguridad. Aunque el comité apruebe los controles recomendados, la oposición subyacente puede provocar que los proyectos de implementación de controles de seguimiento no se apliquen. Para que tenga éxito todo el proceso de administración de riesgos, todos los miembros del equipo deben estar de acuerdo y apoyar los controles recomendados.

Evitar las maniobras obstruccionistas

Dado que uno de los objetivos de esta fase es crear, mediante consenso, una lista de controles, cualquier participante puede ralentizar o detener el progreso mediante una maniobra obstruccionista. Es decir, cualquier persona que participe en la fase de apoyo a la toma de decisiones puede decidir que no está de acuerdo en recomendar un determinado control. Por otro lado, alguien puede intentar imponer su particular punto de vista a la mayoría si está amenazada la recomendación de cierto control. Es muy importante que el responsable de evaluación de riesgos resuelva las situaciones de obstruccionismo cuando se produzca. Queda fuera del alcance de esta guía las recomendaciones exhaustivas acerca de cómo afrontar este tipo de situaciones, pero una táctica eficaz sería determinar los motivos clave del punto de vista de dicha persona y trabajar con el equipo para encontrar alternativas eficaces o compromisos que todo el equipo considere aceptables.

Principio de la página

Identificación y comparación de controles

En esta sección se explica el modo en que el responsable de mitigación identifica las posibles soluciones de control y determina los tipos de costos asociados a cada control propuesto y cómo el equipo de administración de riesgos de seguridad estima la reducción de nivel de riesgo que cada control propuesto proporciona. Los responsables de mitigación y el equipo de administración de riesgos de seguridad presentan sus resultados y soluciones recomendadas al comité directivo de seguridad para que se pueda seleccionar una lista final de soluciones de control para su implementación.

En el siguiente diagrama se ofrece un extracto de la hoja de trabajo Riesgo detallado de la hoja de cálculo de Excel que se ha utilizado para realizar la evaluación detallada de los riesgos en el capítulo anterior. Esta hoja de trabajo, GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls, se incluye en esta guía y se encuentra en la carpeta Herramientas y plantillas. En el diagrama se muestran todos los elementos empleados durante el análisis de costo-beneficio. En los pasos siguientes se describe cada columna.

Figura 5.3 Sección de apoyo a la toma de decisiones de la hoja de trabajo Riesgo detallado (GARSHerramienta3)
Ver imagen a tamaño completo

Nota: la hoja de trabajo se centra en la reducción de la probabilidad de repercusiones al determinar la reducción del nivel de riesgo. Se supone que el valor del activo no cambia en el período de tiempo de la evaluación de riesgos. Normalmente, el nivel de exposición (alcance de daños en el activo) permanece constante. La experiencia demuestra que los niveles de exposición normalmente no cambian si las descripciones de amenaza y de vulnerabilidad se especifican lo suficientemente detalladas.

Paso 1: Definir los requisitos funcionales

Los requisitos de seguridad funcionales son declaraciones que describen los controles necesarios para mitigar el riesgo. El término "funcional" es importante: los controles se deben describir según las funciones deseadas en oposición a las tecnologías especificadas. Pueden ser posibles soluciones técnicas alternativas y cualquier resolución es aceptable si cumple los requisitos de seguridad funcionales. El equipo de administración de riesgos de seguridad es el encargado de definir los requisitos funcionales, el primer resultado del proceso del análisis de costo-beneficio. Para identificar correctamente los posibles controles, el equipo de administración de riesgos de seguridad tiene que definir lo que los controles deben realizar para reducir el riesgo para la empresa. Aunque el equipo conserva la responsabilidad, es muy recomendable la colaboración con el responsable de la solución de mitigación.

Los requisitos funcionales se deben definir para cada riesgo descrito en el proceso de apoyo a la toma de decisiones; el resultado generado se denomina "Definiciones de requisitos funcionales". La definición y la responsabilidad del requisito funcional resultan muy importantes para el proceso de costo-beneficio. El documento define lo que se tiene que producir para reducir el riesgo pero no especifica cómo se debe reducir ni define controles específicos. Esta distinción concede al equipo de administración de riesgos de seguridad la responsabilidad en su área a la vez que también permite que el responsable de mitigación, que implementa la solución de mitigación, tome decisiones relacionadas con la ejecución y el soporte de la empresa. Las respuestas a cada riesgo se documentan en la columna etiquetada "Requisito de seguridad funcional" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls. Los requisitos funcionales se deben revisar una vez al año como mínimo para determinar si continúan siendo necesarios o se deben modificar.

Figura 5.4 Paso 1 de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

El trabajo realizado en la fase anterior permite a las organizaciones comprender sus situaciones de riesgo y determinar de un modo racional los controles que se deben implementar para reducir los riesgos más importantes. El patrocinador ejecutivo y los responsables de negocios desean saber lo que piensa el grupo de seguridad de información que debe hacer la organización ante cada riesgo. El grupo de seguridad de información atiende esta demanda mediante la creación de requisitos de seguridad funcionales. Por cada riesgo, el grupo de seguridad de información elabora una declaración clara del tipo de funcionalidad o proceso que se tiene que introducir para mitigar el riesgo.

Ejemplo de Woodgrove: a partir del ejemplo de Woodgrove Bank utilizado en el capítulo anterior, se elabora un requisito funcional útil para el riesgo de robo de credenciales de un cliente de red de área local (LAN) administrado debido a una configuración obsoleta de las firmas antivirus, configuraciones de host o revisiones de seguridad obsoletas:

DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores cuando inicien sesión en la red local.

Un ejemplo de un requisito que no es funcional lo constituye lo siguiente:

La solución DEBE utilizar tarjetas inteligentes para autenticar los usuarios.

La segunda declaración no es funcional porque describe el uso de una tecnología específica. Corresponde a los responsables de mitigación proporcionar a una lista de soluciones de control específicas que cumplan los requisitos funcionales; es decir, traducen los requisitos funcionales en soluciones de control técnico y/o controles administrativos (directiva, estándares, directrices, etc.).

El requisito funcional para el segundo riesgo examinado durante el paso de asignación de prioridades a los riesgos de nivel detallado, el riesgo de robo de credenciales de hosts móviles remotos como resultado de una configuración de seguridad obsoleta:

DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores cuando inicien sesión en la red de forma remota.

Registre los requisitos funcionales de cada riesgo en la columna Requisitos de seguridad funcionales de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.

En el documento 2119 de Request for Comments (RFC) de Internet Engineering Task Force (IETF), disponible en www.ietf.org/rfc/rfc2119.txt, se proporciona orientación acerca de las palabras o frases clave que se deben emplear en las declaraciones de requisitos. Dichos términos, que normalmente aparecen en mayúsculas, son "SE TIENE QUE", "NO SE TIENE QUE", "OBLIGATORIO", "SE TENDRÁ QUE", "NO SE TENDRÁ QUE", "SE DEBE", "NO SE DEBE", "RECOMENDADO", "PUEDE" y "OPCIONAL". Microsoft recomienda utilizar estas frases clave en las declaraciones de requisitos funcionales según las definiciones proporcionadas en el documento RFC 2119:

•	SE TIENE QUE: este término, junto con "OBLIGATORIO" o "SE TENDRÁ QUE", significa que la definición es un requisito absoluto de la especificación. Por ejemplo, si en la evaluación de riesgos se identifica un escenario de alto riesgo, probablemente el término "SE TIENE QUE" constituye la mejor descripción mediante palabra clave para el requisito que soluciona dicho escenario.
•	NO SE TIENE QUE: este término, o "NO SE TENDRÁ QUE", significa que la definición es una prohibición absoluta de la especificación.
•	SE DEBE: este término, o el adjetivo "RECOMENDADO", significa que pueden existir motivos válidos en determinadas circunstancias para omitir un determinado elemento, pero que se deben comprender y sopesar atentamente las implicaciones completas antes de elegir una acción distinta. Por ejemplo, si en la evaluación de riesgos se identifica un escenario de bajo riesgo, el término "SE DEBE" constituye la mejor descripción mediante palabra clave para el requisito que soluciona dicho escenario.
•	NO SE DEBE: este término, o "NO RECOMENDADO", significa que pueden existir motivos válidos en determinadas circunstancias cuando el comportamiento concreto es aceptable o, incluso, útil, pero que se deben comprender las implicaciones completas y el caso se debe analizar cuidadosamente antes de implementar un comportamiento descrito con esta etiqueta.
•	PUEDE: esta palabra, o el adjetivo "OPCIONAL", significa que un elemento es totalmente opcional. Un proveedor puede optar por incluir el elemento porque un determinado mercado lo requiere o porque piensa que mejora el producto, mientras que otro proveedor puede omitir el mismo elemento. Una implementación que no incluya una determinada opción TIENE QUE estar preparada para interoperar con otra implementación que sí la incluya, aunque tal vez con funcionalidad reducida. En el mismo sentido, una implementación que incluya una determinada opción TIENE QUE estar preparada para interoperar con otra implementación que no la incluya (a excepción, como es lógico, de la característica que proporciona la opción).

Después de haber definido y documentado los requisitos funcionales para cada riesgo, puede ir al siguiente paso de la fase de apoyo a la toma de decisiones.

Paso 2: Identificar las soluciones de control

En el siguiente paso de esta fase corresponde a los responsables de mitigación elaborar una lista de nuevos posibles controles para cada riesgo que cumplan los requisitos funcionales del mismo. En muchas organizaciones, los miembros del grupo de seguridad de información podrán colaborar mediante la identificación de una serie de posibles controles para cada riesgo identificado y caracterizado durante la fase anterior. Las organizaciones que no dispongan de suficientes especialistas internos para este fin pueden complementar la labor de los responsables de mitigación con consultores.

Figura 5.5 Paso 2 de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

El proceso de identificar los posibles controles puede parecer complejo, sobre todo si ninguno de los responsables de mitigación, o sólo algunos, no lo han hecho anteriormente. Existen dos enfoques que pueden ayudar a los equipos a pensar en nuevas ideas; muchas organizaciones consideran que resulta más eficaz utilizar ambos. El primero es un enfoque de lluvia de ideas informal; el segundo es más organizado y está basado en el modo en que los controles se pueden clasificar y organizar. El equipo de administración de riesgos de seguridad debe utilizar una combinación de estos dos enfoques.

En el enfoque de lluvia de ideas, el responsable de evaluación de riesgos expone la siguiente serie de preguntas al equipo por cada riesgo. El responsable de registro de evaluación de riesgos documenta todas las respuestas en la columna etiquetada "Control propuesto" de la hoja de trabajo Riesgo detallado de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls. Este proceso continúa hasta que todos los riesgos principales se han examinado y el equipo pasa a determinar los costos asociados a cada control.

•	¿Qué medidas debe adoptar la organización para resistir o impedir la aparición del riesgo? Por ejemplo, implementar la autenticación de varios factores para reducir el riesgo de que peligren las contraseñas o implementar una infraestructura de administración de revisiones automatizada para reducir el riesgo de que los sistemas se pongan en peligro debido a código móvil malintencionado.
•	¿Qué puede hacer la organización para recuperarse de un riesgo una vez se ha detectado? Por ejemplo, establecer, destinar fondos y formar un equipo de respuesta a incidencias o implementar y probar los procesos de copia de seguridad y restauración para todos los equipos que ejecutan un sistema operativo de servidor. Es más, una organización puede establecer recursos informáticos redundantes en ubicaciones remotas que se pueden poner en servicio si se produce un desastre en el sitio principal.
•	¿Qué medidas puede adoptar la organización para detectar la aparición del riesgo? Por ejemplo, instalar un sistema de detección de intrusiones basado en red en el perímetro de la red y en las ubicaciones clave de la red interna, o instalar un sistema de detección de intrusiones distribuido y basado en host en todos los equipos de la organización.
•	¿Cómo se puede auditar y supervisar el control para garantizar que se continúa aplicando? Por ejemplo, instalar y observar detalladamente las herramientas de administración adecuadas del proveedor del producto.
•	¿Cómo puede la organización validar la eficacia del control? Por ejemplo, disponer de un especialista familiarizado con el intento de vulnerabilidad para saltarse el control.
•	¿Existen otras acciones que se pueden llevar a cabo para afrontarlo? Por ejemplo, transferir el riesgo mediante la adquisición de un seguro que indemnice por las pérdidas relacionadas con dicho riesgo.

El segundo método para identificar los nuevos posibles controles los organiza en tres categorías extensas: organizativa, operativa y tecnológica. Éstos se subdividen en controles que proporcionan prevención, detección y recuperación, así como administración. Los controles preventivos se implementan para impedir que se materialice un riesgo; por ejemplo, detienen las infracciones antes de que se produzcan. Los controles de detección y recuperación ayudan a la organización a determinar cuándo se ha producido un suceso de seguridad y para reanudar las operaciones normales posteriormente. Los controles de administración no proporcionan necesariamente protección por sí mismos, pero son necesarios para implementar otros controles. A continuación se describen estas categorías con más detalle.

Controles organizativos

Los controles organizativos son procedimientos y procesos que definen el modo en que las personas de la organización deben llevar a cabo sus tareas.

Los controles preventivos de esta categoría son:

•	Funciones y responsabilidades claras. Deben estar definidas y documentadas de forma clara para que los directivos y el personal comprendan sin posibilidad de dudas quién es el responsable de garantizar que se implementa un nivel de seguridad adecuado para los activos de TI más importantes.
•	Separación de responsabilidades y privilegios mínimos. Si se implementan correctamente, garantizan que las personas sólo dispondrán del acceso suficiente a los sistemas de TI para desempeñar sus tareas eficazmente y no más.
•	Planes y procedimientos de seguridad documentados. Se desarrollan para explicar el modo en que los controles se han implementado y cómo se deben mantener.
•	Cursos de seguridad y campañas de toma de concienciación continuas. Esto resulta necesario para todos los miembros de la organización para que los usuarios y los miembros del equipo de TI comprendan sus responsabilidades y el modo de utilizar correctamente los recursos informáticos a la vez que se protegen los datos de la organización.
•	Sistemas y procesos para crear y eliminar usuarios. Estos controles son necesarios para que los nuevos miembros de la organización puedan ser productivos rápidamente y para que el personal que abandona la empresa pierda el acceso inmediatamente al marcharse. Los procesos de creación también deben incluir transferencias de empleados de los grupos de la empresa donde los privilegios y el acceso cambien de un nivel a otro. Por ejemplo, los funcionarios que cambian de puesto y las clasificaciones de seguridad de Secreto a Confidencial, o viceversa.
•	Procesos establecidos para conceder acceso a contratistas, proveedores, socios y clientes. Normalmente es una variación de la creación de usuarios mencionada anteriormente, pero, en muchos casos, es muy distinta. Compartir datos con un grupo de usuarios externos y compartir un conjunto de datos distinto con otro grupo puede resultar complejo. Normalmente los requisitos legales y normativos influyen en las opciones, por ejemplo cuando se trata de datos sanitarios o financieros.

Los controles de detección de esta categoría son:

•	Realizar programas continuos de administración de riesgos para evaluar y controlar los riesgos de los activos clave de la organización.
•	Llevar a cabo revisiones periódicas de los controles para comprobar su eficacia.
•	Efectuar periódicamente auditorías del sistema para garantizar que los sistemas no se han puesto en peligro o se han configurado incorrectamente.
•	Realizar investigaciones de antecedentes de los posibles candidatos a puestos de trabajo. Debe contemplar la posibilidad de implementar investigaciones de antecedentes adicionales de los empleados propuestos para ascensos a puestos con un mayor nivel de acceso a los activos de TI de la organización.
•	Establecer una rotación de responsabilidades, que es una forma eficaz de descubrir actividades malintencionadas de miembros del equipo de TI o de usuarios con acceso a información confidencial.

Los controles de administración de esta categoría son:

•	Planeamiento de la respuesta a incidencias, que proporciona a la organización la capacidad de reaccionar y de recuperarse rápidamente de las infracciones de seguridad a la vez que se reduce su efecto y se impide la propagación de la incidencia a otros sistemas.
•	Planeamiento de la continuidad de la empresa, que permite que la organización se recupere de sucesos catastróficos que afectan a una gran parte de la infraestructura de TI.

Controles operativos

Los controles operativos definen el modo en que las personas de la organización deben tratar los datos, el software y el hardware. También incluyen protecciones ambientales y físicas, según se describe a continuación.

Los controles preventivos de esta categoría son:

•	Protección de las instalaciones informáticas con medios físicos como barreras, dispositivos y bloqueos electrónicos, bloqueos biométricos y vallas.
•	Protección física de los sistemas de los usuarios finales, incluidos dispositivos como bloqueos y alarmas de equipos móviles y cifrado de los archivos almacenados en los dispositivos móviles.
•	Fuente de alimentación de reserva para emergencias, que puede impedir que los sistemas eléctricos sensibles se dañen durante cortes de suministro eléctrico y apagones; también pueden garantizar que las aplicaciones y los sistemas operativos se cierran correctamente para conservar los datos y las transacciones.
•	Sistemas contra incendios, como sistemas de extinción de incendios automáticos y extintores, que constituyen herramientas fundamentales para proteger los activos clave de la organización.
•	Sistemas de control de temperatura y de humedad que prolongan la duración de los equipos eléctricos sensibles y ayudan a proteger los datos almacenados en ellos.
•	Control de acceso a medios y procedimientos de eliminación para garantizar que sólo el personal autorizado tiene acceso a información confidencial y que los medios empleados para almacenar dichos datos no quedan legibles mediante desmagnetización u otros métodos antes de la eliminación.
•	Sistemas de copia de seguridad y disposiciones para el almacenamiento de las copias de seguridad fuera de las instalaciones con el fin de facilitar la restauración de los datos perdidos o dañados. Si se produce una incidencia catastrófica, los medios de copia de seguridad almacenados fuera de las instalaciones permiten almacenar los datos cruciales para el negocio en los sistemas de reemplazo.

Los controles de detección y recuperación de esta categoría son:

•	Seguridad física, que protege a la organización de atacantes que intenten obtener acceso a sus instalaciones; algunos ejemplos son: sensores, alarmas, cámaras y detectores de movimiento.
•	Seguridad ambiental, que protegen a la organización de amenazas ambientales como inundaciones e incendios; algunos ejemplos son: detectores de humo y fuego, alarmas, sensores y detectores de inundaciones.

Controles de tecnología

Los controles de tecnología varían considerablemente en cuanto a su complejidad. Incluyen: diseño de la arquitectura del sistema, ingeniería, hardware, software y firmware. Todos son componentes de tecnología que se utilizan para crear los sistemas de información de una organización.

Los controles preventivos de esta categoría son:

•	Autenticación. Proceso de validar las credenciales de una persona, proceso de equipo o dispositivo. En la autenticación se requiere que la persona, el proceso o el dispositivo que efectúa la solicitud proporcione una credencial que demuestre que es quien dice ser. Las formas habituales de las credenciales son las firmas digitales, las tarjetas inteligentes, los datos biométricos y una combinación de nombres de usuario y contraseñas.
•	Autorización. Proceso de conceder a una persona, proceso de equipo o dispositivo acceso a determinada información, servicios o funcionalidad. La autorización se deriva de la identidad de la persona, proceso de equipo o dispositivo que solicita el acceso, que se comprueba mediante autenticación.
•	No rechazo. Técnica empleada para garantizar que quien realiza una acción en un equipo no pueda negar falsamente que ha realizado dicha acción. El no rechazo proporciona una prueba innegable de que un usuario ha realizado una acción específica, como transferir dinero, autorizar una compra o enviar un mensaje.
•	Control de acceso. Mecanismo para limitar el acceso a determinada información en función de la identidad de un usuario y su pertenencia a varios grupos predefinidos. El control de acceso puede ser obligatorio, discrecional o basado en funciones.
•	Comunicaciones protegidas. Estos controles utilizan el cifrado para proteger la integridad y la confidencialidad de la información transmitida por las redes.

Los controles de detección y recuperación de esta categoría son:

•	Sistemas de auditoría. Permiten supervisar y realizar el seguimiento del comportamiento del sistema que se aparte de las normas previstas. Constituyen una herramienta fundamental para detectar, comprender y recuperarse de infracciones de seguridad.
•	Programas antivirus. Diseñados para detectar y responder a software malintencionado, como virus y gusanos. Las respuestas pueden ser el bloqueo del acceso de usuario a los archivos infectados, la limpieza de los archivos o sistemas infectados o la notificación al usuario de que se ha detectado un programa infectado.
•	Herramientas de integridad del sistema. Permiten que el personal de TI determine si se han efectuado cambios no autorizados en un sistema. Por ejemplo, algunas herramientas de integridad del sistema calculan una suma de comprobación para todos los archivos que se encuentran en los volúmenes de almacenamiento del sistema y almacenan la información en una base de datos en otro equipo. La comparación entre el estado actual de un sistema y su configuración válida conocida anteriormente se puede llevar a cabo de un modo confiable y automatizado con una herramienta de este tipo.

Los controles de administración de esta categoría son:

•	Herramientas de administración de seguridad incluidas en numerosos sistemas operativos informáticos y aplicaciones de negocios así como en productos de hardware y software orientados a la seguridad. Estas herramientas son necesarias para mantener, dar soporte y solucionar problemas de características de seguridad de un modo eficaz en todos estos productos.
•	Criptografía, que es la base de muchos otros controles de seguridad. La creación, el almacenamiento y la distribución seguros de las claves de cifrado permiten tecnologías como redes privadas virtuales (VPN), autenticación de usuarios segura y cifrado de datos en distintos tipos de medios de almacenamiento.
•	Identificación, que proporciona la capacidad de identificar usuarios y procesos únicos. Gracias a esta capacidad, los sistemas pueden incluir características como responsabilidad, control de acceso discrecional, control de acceso basado en funciones y control de acceso obligatorio.
•	Protecciones inherentes al sistema, que son características diseñadas en el sistema para proteger la información procesada o almacenada en dicho sistema. Se ha demostrado que la reutilización segura de objetos, la compatibilidad con memoria de no ejecución (NX) y la separación de procesos son características de protección del sistema.

Cuando evalúe las soluciones de control, también puede resultar útil que consulte la sección "Organización de las soluciones de control" del capítulo 6, "Implementación de controles y medición de la efectividad del programa". En esta sección se incluyen vínculos a orientación normativa escrita para ayudar a las organizaciones a aumentar la seguridad de sus sistemas de información.

Ejemplo de Woodgrove: el primer riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante el inicio de sesión en la LAN, si se puede solucionar si se les pide a los usuarios que se autentiquen con tarjetas inteligentes al conectarse localmente a la red corporativa.

El segundo riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante el inicio de sesión en la red de forma remota, se puede solucionar si se les pide a todos los usuarios que se autentiquen con tarjetas inteligentes al conectarse de forma remota a la red corporativa. Registre cada uno de los controles propuestos para cada riesgo en la columna "Control propuesto" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.

Paso 3: Revisar la solución según los requisitos

El equipo de administración de riesgos de seguridad debe aprobar la solución de control para garantizar que el control cumple los requisitos funcionales definidos. Otra ventaja de la colaboración en los procesos de costo-beneficio reside en la capacidad de anticipar las comprobaciones y los balances inherentes al proceso; por ejemplo, si el responsable de mitigación está incluido en la definición de requisitos de seguridad, normalmente la solución cumplirá los requisitos. Los controles que no cumplan los requisitos funcionales para un riesgo específico se quitan de la hoja de trabajo Riesgo detallado.

Figura 5.6 Paso 3 de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

Ejemplo de Woodgrove: el equipo de administración de riesgos de seguridad ha comparado el uso de tarjetas inteligentes para la autenticación de usuario con el fin de determinar si su implementación cumple los requisitos funcionales. En este caso, las tarjetas inteligentes cumplen los requisitos funcionales de los dos riesgos de este ejemplo. Marque cada uno de los controles rechazados con un formato distinto en GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.

Paso 4: Estimar la reducción del riesgo

Después de que el equipo de administración de riesgos de seguridad apruebe la mitigación posible, debe volver a calcular la reducción de riesgo global para la empresa. La cantidad de reducción de riesgo se comparará con el costo de la solución de mitigación. Éste es el primer paso en el que el importe económico puede proporcionar valor al análisis de costo-beneficio. La experiencia demuestra que la reducción de riesgo normalmente se estima ampliando la probabilidad del efecto a la empresa. Recuerde que cada clasificación de probabilidad (alta, media o baja) tiene un intervalo de tiempo previsto en el que es probable que se produzca el ataque.

Figura 5.7 Paso 4 de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

La ampliación de la estimación de posibilidad de ataque de un año a más de tres proporciona un valor importante al equipo de administración de riesgos de seguridad y al comité directivo de seguridad. Aunque puede que la estimación de pérdida financiera no se reduzca, es menos probable que la pérdida se produzca en un futuro próximo. Es importante tener presente que el objetivo no es reducir el efecto a cero, sino definir un nivel de riesgo aceptable para la empresa.

Otra ventaja de reducir el riesgo a corto plazo está relacionada con la tendencia común de los costos de controles técnicos a disminuir con el tiempo y a aumentar su eficacia. Por ejemplo, una mejora en la estrategia actual de administración de revisiones puede reducir considerablemente la probabilidad de riesgos de host hoy en día. Sin embargo, el costo de implementar revisiones y actualizaciones de seguridad puede disminuir a medida que estén disponibles nuevas orientaciones y herramientas para administrar de forma eficaz estas operaciones. La reducción de los costos mediante la autenticación de dos factores ofrece otro ejemplo de esta tendencia.

Al determinar el grado relativo de reducción de riesgo de un control asegúrese de contemplar todas las formas en que el control puede afrontar el riesgo. Entre las preguntas que se deben plantear se incluyen:

•	¿El control previene un ataque específico o un conjunto de ataques?
•	¿Minimiza el riesgo de una determinada clase de ataques?
•	¿El control reconoce una vulnerabilidad mientras se está produciendo?
•	Si reconoce una debilidad, ¿puede resistir el ataque o realizar un seguimiento del mismo?
•	¿El control ayuda a recuperar los activos que han sufrido un ataque?
•	¿Qué otras ventajas ofrece?
•	¿Cuál es el costo total del control en relación con el valor del activo?

Estas preguntas pueden resultar complejas cuando un determinado control afecta a varias vulnerabilidades y activos. Por último, el objetivo de este paso es realizar la estimación de la reducción de los niveles de riesgo que efectúa cada control. Registre los nuevos valores de Clasificación de exposición, Clasificación de probabilidad y Clasificación de riesgo en las columnas etiquetadas "Clasificación de exposición con el nuevo control", "Clasificación de probabilidad con el nuevo control" y "Nueva clasificación de riesgo" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls para cada riesgo.

Ejemplo de Woodgrove: en relación con el primer riesgo, el de que se pongan en peligro las contraseñas de los asesores financieros mientras utilizan clientes de LAN, el equipo de administración de riesgos de seguridad puede llegar a la conclusión de que la clasificación de exposición después de implementar tarjetas inteligentes para la autenticación local sería de 8, la clasificación de probabilidad bajaría a 1 y, por lo tanto, la nueva clasificación de riesgo sería de 9. Para el segundo riesgo, el de que se pongan en peligro las contraseñas de los asesores financieros al acceder a la red de forma remota, el equipo de administración de riesgos de seguridad encontraría valores similares. Registre las nuevas clasificaciones de exposición, probabilidad y riesgo para cada control propuesto en las columnas "Clasificación de exposición con el nuevo control", "Clasificación de probabilidad con el nuevo control" y "Nueva clasificación de riesgo" de la hoja de trabajo Riesgo detallado de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.

Paso 5: Estimar el costo de la solución

En la siguiente tarea de esta fase corresponde al responsable de mitigación estimar el costo relativo de cada control propuesto. El equipo de ingeniería de TI debe poder determinar el modo de implementar cada control y proporcionar estimaciones razonablemente precisas acerca de lo que costará la adquisición, la implementación y el mantenimiento de cada uno. Debido a que el proceso de administración de riesgos de seguridad de Microsoft implica un proceso de administración de riesgos híbrido, no es necesario calcular los costos precisos, basta con unas estimaciones. Durante el análisis de costo-beneficio, se compararán los valores y los costos relativos de cada control en vez de las cifras financieras absolutas. Cuando el equipo cree estas estimaciones, debe tener en cuenta todos los gastos directos e indirectos que puedan estar asociados a un control. Registre los costos de cada control en la columna etiquetada "Costo de descripción de controles" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.

Figura 5.8 Paso 5 de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

Costos de adquisición

Estos costos abarcan el software, el hardware o los servicios relacionados con un nuevo control propuesto. Puede que algunos controles no tengan costos de adquisición; por ejemplo, la implementación de un nuevo control puede implicar únicamente la habilitación de una característica no utilizada anteriormente en un elemento de hardware de red que ya utiliza la organización. Otros controles pueden requerir la compra de nuevas tecnologías, como software de servidor de seguridad distribuido o hardware de servidor de seguridad dedicado con capacidad de filtrado de niveles de aplicación. Algunos controles pueden no requerir que se compre nada sino que se contrate a otra organización. Por ejemplo, una organización puede contratar a otra empresa para que le proporcione una lista de bloqueo de sistemas de envío de correo no deseado conocidos que se actualice diariamente para poderla aprovechar en sus filtros de correo no deseado que ya están instalados en los servidores de correo de la organización. Puede haber otros controles que la organización decida desarrollar por su cuenta; todos los costos relacionados con el diseño, el desarrollo y la prueba de los controles formarían parte de los controles de adquisición de la organización.

Costos de implementación

Estos gastos están relacionados con el personal o los consultores que instalarán y configurarán el nuevo control propuesto. Algunos controles pueden requerir que un equipo grande los especifique, diseñe, pruebe e implemente correctamente. Un administrador de sistemas experto también puede deshabilitar los servicios de sistema no utilizados en todos los equipos de escritorio y móviles en pocos minutos si la organización ya ha implementado herramientas de administración empresarial.

Costos continuos

Estos costos están relacionados con las actividades continuas asociadas al nuevo control, como la administración, la supervisión y el mantenimiento. Pueden parecer bastante difíciles de estimar, por lo que intente considerarlos en relación con la cantidad de personas que tienen que participar y el tiempo que cada semana (mes o año) se necesita dedicar a estas tareas. Piense en un sistema de detección de intrusión basado en red sólido y distribuido para una gran empresa con oficinas en cuatro continentes. Dicho sistema requiere personas que lo supervisen las 24 horas del día, todos los días, y deben poder interpretar y responder a las alertas eficazmente. Se pueden necesitar ocho o diez (tal vez más) empleados a tiempo completo para que la organización desarrolle totalmente el potencial de este control complejo.

Costos de comunicaciones

Este gasto está relacionado con la notificación de nuevas directivas o procedimientos a los usuarios. Para una organización con unos cientos de empleados que instale bloqueos electrónicos para su sala de servidores, puede ser suficiente con enviar unos cuantos mensajes de correo electrónico al personal de TI y directores jefe. Pero una organización que, por ejemplo, implemente tarjetas inteligentes necesitará establecer muchas comunicaciones antes, durante y después de la distribución de las tarjetas inteligentes y los lectores, debido a que los usuarios tendrán que aprender una nueva forma de iniciar sesión en sus equipos y, sin duda alguna, se producirán numerosas situaciones nuevas o inesperadas.

Costos de cursos para el personal de TI

Estos costos están asociados al personal de TI que tenga que implementar, administrar, supervisar y realizar el mantenimiento del nuevo control. Considere el ejemplo anterior de la organización que ha decidido implementar tarjetas inteligentes. Distintos equipos de la organización de TI tendrán diferentes responsabilidades y, por lo tanto, precisarán distintos tipos de cursos. El personal del servicio de asistencia tendrá que saber cómo ofrecer ayuda a los usuarios finales a superar problemas habituales, como tarjetas o lectores dañados y números de identificación personal olvidados. El personal del servicio de asistencia tendrá que saber cómo instalar, solucionar problemas, diagnosticar y reemplazar los lectores de tarjetas inteligentes. Un equipo de la organización de TI, otro del departamento de recursos humanos o quizás otro del departamento de seguridad física de la organización serán los responsables de proporcionar las tarjetas nuevas y de reemplazo, así como de recuperar las tarjetas de los empleados que se marchen.

Costos de cursos para los usuarios

Este gasto está relacionado con los usuarios que tengan que incorporar un nuevo comportamiento para trabajar con el nuevo control. En el escenario de las tarjetas inteligentes mencionado anteriormente, todos los usuarios tendrán que comprender el uso de las tarjetas inteligentes y de los lectores, así como el cuidado correcto de las tarjetas, ya que la mayoría de los diseños son más sensibles a situaciones extremas físicas que las tarjetas de crédito o las bancarias.

Costos para la productividad y la comodidad

Estos gastos están asociados a los usuarios cuyo trabajo se verá afectado por el nuevo control. En el escenario de las tarjetas inteligentes, se puede suponer que todo resultará más sencillo para una organización después de las primeras semanas y meses de la implementación de las tarjetas y de los lectores y de ayudar a los usuarios a superar los problemas iniciales. Pero para la mayoría de las organizaciones no sucede así. Por ejemplo, muchas descubrirán que las aplicaciones existentes no son compatibles con las tarjetas inteligentes. En algunos casos esto puede no ser importante, pero ¿qué sucede con las herramientas que el departamento de recursos humanos utiliza para administrar la información confidencial de los empleados? ¿O con el software de administración de relaciones con el cliente que se utiliza en toda la organización para realizar el seguimiento de los datos importantes de todos los clientes?

Si existen aplicaciones de negocios fundamentales como las anteriores que no son compatibles con las tarjetas inteligentes y están configuradas para requerir autenticación de usuario, es posible que la organización se deba enfrentar a una situación difícil. Puede actualizar el software, lo que requerirá todavía más costos para nuevas licencias, la implementación y los cursos. O puede deshabilitar las características de autenticación, pero se reduciría la seguridad de forma considerable. También puede requerir que los usuarios introduzcan nombres de usuario y contraseñas al tener acceso a dichas aplicaciones, pero, de nuevo, los usuarios tendrían que recordar contraseñas, lo que socava una de las ventajas clave de las tarjetas inteligentes.

Costos de auditoría y comprobación de eficacia

Una organización puede afrontar estos gastos después de implementar el nuevo control propuesto. Algunos ejemplos de las preguntas que se puede plantear para definir aún más estos controles son:

•	¿Cómo se garantizará que el control realmente hace lo que se supone que debe hacer?
•	¿Realizarán algunos miembros de la organización de TI pruebas de penetración?
•	¿Ejecutarán muestras de código malintencionado en el activo que se supone que debe proteger el control?
•	Después de validar la eficacia del control, ¿cómo comprobará la organización de forma continuada que el control se sigue aplicando?

La organización debe poder probar que nadie ha modificado o deshabilitado el control de forma accidental o malintencionada y debe determinar a quién se encargará dicha comprobación. Para los activos muy confidenciales, puede ser necesario que varias personas validen los resultados.

Ejemplo de Woodgrove: en las tablas 5.3 y 5.4 siguientes los responsables de mitigación han determinado los costos de los riesgos. Registre las estimaciones de costos para cada control propuesto en la columna "Costo de descripción de controles" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.

Tabla 5.3: Costos de implementación de tarjetas inteligentes para VPN y el acceso administrativo

Categoría	Notas	Estimaciones
Costos de adquisición	El costo por tarjeta inteligente es de 15 dólares y por lector también es de 15 dólares. Sólo 10.000 empleados del banco necesitan funciones de red privada virtual (VPN) o acceso administrativo, por lo que el costo total de tarjetas y lectores será de 300.000 dólares.	300.000 dólares
Costos de implementación	El banco contratará a una empresa de consultoría para que le ayude a implementar la solución con un costo de 750.000 dólares. No obstante, habrá costos considerables por el tiempo invertido por los empleados del banco: 150.000 dólares.	900.000 dólares
Costos de comunicaciones	El banco ya dispone de varios métodos establecidos para comunicar noticias a los empleados, como boletines impresos, sitios Web internos y listas de correo electrónico, por lo que los costes para notificar la implementación de las tarjetas inteligentes no serán importantes.	50.000 dólares
Costos de cursos para el personal de TI	El banco utilizará la misma organización de consultoría para impartir cursos al personal de TI que ayudará en la implementación; el costo será de 10.000 dólares. La mayoría de los miembros del personal de TI perderán de 4 a 8 horas de trabajo, con un costo global estimado en 80.000 dólares.	90.000 dólares
Costos de cursos para los usuarios	El banco utilizará los cursos basados en Web del proveedor de las tarjetas inteligentes para enseñar a los empleados a utilizarlas; el costo está incluido en el precio del hardware. Cada empleado del banco dedicará aproximadamente una hora en realizar el curso, con un costo global de pérdida de productividad de unos 300.000 dólares.	300.000 dólares
Costos para la productividad y la comodidad	El banco supone que el usuario medio perderá una hora de productividad y que uno de cada cuatro llamará al servicio de asistencia para obtener ayuda relacionada con las tarjetas inteligentes. El costo de la pérdida de productividad será de 300.000 dólares y los gastos de las llamadas al servicio de asistencia serán de 100.000 dólares.	400.000 dólares
Costos de auditoría y comprobación de eficacia	El equipo de administración de riesgos de seguridad cree que puede auditar y comprobar periódicamente la eficacia del nuevo control con un costo de 50.000 dólares durante el primer año.	50.000 dólares
Total		2.090.000 dólares

Tabla 5.4: Costos de implementación de tarjetas inteligentes para el acceso local

Categoría	Notas	Estimaciones
Costos de adquisición	El costo por tarjeta inteligente es de 15 dólares y por lector también es de 15 dólares. Dado que los 15.000 empleados del banco necesitarán acceso local, el costo total de las tarjetas y los lectores será de 450.000 dólares. El banco también tendrá que actualizar o reemplazar muchas aplicaciones de negocios a un costo importante: 1.500.000 dólares.	1.950.000 dólares
Costos de implementación	El banco contratará a una empresa de consultoría para que le ayude a implementar la solución con un costo de 750.000 dólares. No obstante, habrá costos considerables por el tiempo invertido por los empleados del banco: 150.000 dólares.	900.000 dólares
Costos de comunicaciones	El banco ya dispone de varios métodos establecidos para comunicar noticias a los empleados, como boletines impresos, sitios Web internos y listas de correo electrónico, por lo que los costes para notificar la implementación de las tarjetas inteligentes no serán importantes.	50.000 dólares
Costos de cursos para el personal de TI	El banco utilizará la misma organización de consultoría para impartir cursos al personal de TI que ayudará en la implementación; el costo será de 10.000 dólares. La mayoría de los miembros del personal de TI perderán de 4 a 8 horas de trabajo, con un costo global estimado en 80.000 dólares.	90.000 dólares
Costos de cursos para los usuarios	El banco utilizará los cursos basados en Web del proveedor de las tarjetas inteligentes para enseñar a los empleados a utilizarlas; el costo está incluido en el precio del hardware. Cada empleado del banco dedicará aproximadamente una hora en realizar el curso, con un costo global de pérdida de productividad de unos 450.000 dólares.	450.000 dólares
Costos para la productividad y la comodidad	El banco supone que el usuario medio perderá una hora de productividad y que uno de cada cuatro llamará al servicio de asistencia para obtener ayuda relacionada con las tarjetas inteligentes. El costo de la pérdida de productividad será de 450.000 dólares y los gastos de las llamadas al servicio de asistencia serán de 150.000 dólares.	600.000 dólares
Costos de auditoría y comprobación de eficacia	El equipo de administración de riesgos de seguridad cree que puede auditar y comprobar periódicamente la eficacia del nuevo control con un costo de 150.000 dólares durante el primer año.	150.000 dólares
Total		4.190.000 dólares

Paso 6: Seleccionar la solución de mitigación de riesgo

El último paso en el análisis de costo-beneficio consiste en comparar el nivel de riesgo después de la solución de mitigación con el costo de dicha solución. Tanto el riesgo como el costo contienen valores subjetivos que son difíciles de cuantificar en términos financieros exactos. Utilice los valores cualitativos como una prueba razonable de comparación. Evite la tentación de descartar los costos intangibles si se produce el riesgo. Pregunte al responsable del activo qué sucedería si el riesgo se produjera. Pida al responsable que documente su respuesta para evaluar la importancia de la solución de mitigación. Esta táctica puede ser tan persuasiva como una comparación aritmética de valores cuantitativos.

Figura 5.9 Paso 6 de la fase de apoyo a la toma de decisiones
Ver imagen a tamaño completo

Un error habitual en el análisis de costo-beneficio consiste en centrarse en el nivel de reducción riesgo en vez del nivel de riesgo después de la solución de riesgo. Se suele denominar riesgo residual. Un ejemplo simple con términos cuantitativos: si el riesgo se representa como 1000 dólares actualmente y el control propuesto reduce el riesgo en 400 dólares, el responsable de negocios debe aceptar el riesgo tras la solución de mitigación de 600 dólares. Aunque la solución de mitigación sea menor que 400 dólares, seguirá habiendo un riesgo residual de 600 dólares.

Ejemplo de Woodgrove: es muy probable que el banco opte por implementar tarjetas inteligentes sólo para el acceso remoto, ya que el costo para requerirlas en todas las autenticaciones de usuario es bastante alto. Documente las soluciones de seguridad recomendadas que se han seleccionado para su implementación antes de pasar a la siguiente fase del proceso de administración de riesgos de seguridad de Microsoft.

Principio de la página

Resumen

Durante la fase de apoyo a la toma de decisiones, el equipo de administración de riesgos de seguridad recopila elementos fundamentales de información adicional acerca de cada uno de los riesgos principales identificados en la fase de evaluación de riesgos. Por cada riesgo se determina si la organización debe optar por controlarlo, aceptarlo, transferirlo o evitarlo. A continuación, el equipo define los requisitos funcionales para cada riesgo. Después, los responsables de mitigación, en coordinación con el equipo de administración de riesgos de seguridad, crean una lista de posibles soluciones de control. Posteriormente, el equipo estima la reducción de nivel de riesgo que cada solución de control proporciona y los costos asociados a cada una. Finalmente, el comité directivo de seguridad selecciona las soluciones de control que los responsables de mitigación deben implementar en la siguiente fase, Implementación de controles, que se describe en el siguiente capítulo.

Principio de la página

6 de 12

En este artículo

•	Información general
•	Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad
•	Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad
•	Capítulo 3: Información general acerca de la administración de riesgos de seguridad
•	Capítulo 4: Evaluación del riesgo
•	Capítulo 5: Apoyo a la toma de decisiones
•	Capítulo 6: Implementación de controles y medición de la efectividad del programa
•	Apéndice A: Evaluaciones de riesgos ad hoc
•	Apéndice B: Activos comunes del sistema de información
•	Apéndice C: Amenazas comunes
•	Apéndice D: Vulnerabilidades
•	Agradecimientos