Guía de Administración de Riesgos de Seguridad

Gua de administracin de riesgos de seguridad
Informacin general
Publicado: octubre 15, 2004
Los clientes pueden verse desbordados al intentar poner en prctica la administracin de riesgos de
seguridad. Esto probablemente se debe a que no disponen de expertos internos, recursos
presupuestarios, ni directrices para la subcontratacin. Con el fin de ayudar a estos clientes,
Microsoft ha desarrollado la Gua de administracin de riesgos de seguridad.
Esta gua ayuda a cualquier tipo de cliente a planear, crear y mantener un programa de
administracin de riesgos de seguridad de forma correcta. Mediante un proceso dividido en cuatro
fases, que se describe a continuacin. En esta gua se explica cmo llevar a cabo cada fase del
programa de administracin de riesgos de seguridad y cmo crear un proceso continuo para medir y
llevar los riesgos de seguridad a un nivel aceptable.
Esta gua resulta agnstica en lo que a tecnologa se refiere y en ella se hace referencia a
numerosos estndares aceptados por el sector para la administracin de riesgos de seguridad.
Constituye un ejemplo importante del compromiso de Microsoft en ofrecer orientacin de calidad
para ayudar a los clientes a proteger sus infraestructuras de tecnologa de la informacin (TI). En
esta gua se incorporan experiencias reales del departamento de TI de Microsoft as como de
clientes y socios de Microsoft.
Esta gua se ha desarrollado, revisado y aprobado por equipos de expertos en seguridad. Esta gua,
as como otros temas de orientacin acerca de la seguridad, est disponible en el Centro de
instrucciones de seguridad en www.microsoft.com/security/guidance. Los comentarios o las
preguntas acerca de esta gua se deben dirigir a secwish@microsoft.com.
Esta gua consta de seis captulos y cuatro apndices.
En esta pgina
Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad
Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad
Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad
Captulo 4: Evaluacin del riesgo
Captulo 5: Apoyo a la toma de decisiones
Captulo 6: Implementacin de controles y medicin de la efectividad del programa
Apndices
Captulo 1: Introduccin a la Gua de administracin de riesgos de

seguridad
En el captulo 1 se presenta la Gua de administracin de riesgos de seguridad (GARS) y se ofrece
una breve descripcin de los captulos posteriores. Tambin proporciona informacin acerca de las
siguientes cuestiones:
Claves para tener xito con un programa de administracin de riesgos de seguridad
Trminos y definiciones clave
Convenciones de estilo de los documentos
Referencias para obtener ms informacin

Principio de la pgina
Captulo 2: Estudio de prcticas de administracin de riesgos de

seguridad
En el captulo 2 se establecen las bases y se proporciona el contexto de la GARS mediante la
revisin de otros enfoques de la administracin de riesgos de seguridad y consideraciones
relacionadas, incluido el modo de determinar el nivel de madurez de administracin de riesgos de su
organizacin.
Captulo 3: Informacin general acerca de la administracin de

riesgos de seguridad
En el captulo 3 se proporciona un anlisis ms detallado de las cuatro fases de la GARS a la vez que
se presentan algunos de sus conceptos importantes y claves para el xito. En el captulo tambin se
ofrece orientacin con el fin de prepararse para el programa mediante el planeamiento eficaz y se
recalca especialmente la creacin de un equipo de administracin de riesgos de seguridad que tenga
bien definidas las funciones y las responsabilidades.

En el captulo 4 se trata en detalle la primera fase, la evaluacin del riesgo. Los pasos de esta fase
incluyen el planeamiento, la recopilacin de datos y la asignacin de prioridades a los riesgos. Dicha
asignacin consta de niveles de resumen y de detalle, equilibrio de los enfoques cualitativos y
cuantitativos para ofrecer una informacin de riesgos confiable con un equilibrio razonable de
tiempo y esfuerzo. El resultado de la fase de evaluacin de riesgos lo constituye una lista de riesgos
importantes junto con un anlisis detallado que el equipo puede utilizar para tomar decisiones de
negocio durante la siguiente fase del proceso.

En el captulo 5 se trata la segunda fase, el apoyo a la toma de decisiones. Durante esta fase, los
equipos determinan el modo en que afrontan los riesgos clave de una manera ms eficaz y
econmica. Los equipos identifican los controles, estiman los costos, evalan la reduccin del nivel
de riesgo y, finalmente, determinan los controles que se deben implementar. El resultado de la fase
de apoyo a la toma de decisiones es un plan claro y aplicable para controlar o aceptar cada uno de
los riesgos principales identificados en la fase de evaluacin de riesgos.
Captulo 6: Implementacin de controles y medicin de la

efectividad del programa
En el captulo 6 se tratan las dos fases finales de la GARS: la implementacin de controles y la
medicin de la efectividad del programa. Durante la fase de implementacin de controles, los
responsables de mitigacin crean y ejecutan planes en funcin de la lista de soluciones de control
surgida durante el proceso de apoyo a la toma de decisiones.
Una vez finalizadas las tres primeras fases del proceso de administracin de riesgos de seguridad,
las organizaciones deben valorar su progreso con respecto a dicha administracin como un
conjunto. La fase final, medicin de la efectividad del programa, introduce el concepto de un
"clculo de riesgos de seguridad" como ayuda para este proceso.
Apndices
Los apndices son:
Apndice A: Evaluaciones de riesgos ad hoc
Apndice B: Activos comunes del sistema de informacin
Apndice C: Amenazas comunes
Apndice D: Vulnerabilidades

seguridad
Resumen ejecutivo
Retos del entorno

La mayora de las organizaciones reconocen la funcin fundamental que la tecnologa de la
informacin (TI) desempea en sus objetivos de negocios. Pero las infraestructuras de TI
extremadamente conectadas de hoy en da existen en un entorno que es cada vez ms hostil: los
ataques se efectan con mayor frecuencia y exigen un tiempo de reaccin ms breve. Con
frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes
de que afecten a su negocio. La administracin de la seguridad de sus infraestructuras, y el valor de
negocio que ofrecen, se ha convertido en una preocupacin primordial para los departamentos de
TI.
Adems, la nueva legislacin que emana de preocupaciones de privacidad, obligaciones financieras y
gobernanza corporativa exige que las organizaciones administren sus infraestructuras de TI de un
modo ms estricto y eficaz que en el pasado. Muchas agencias gubernamentales y organizaciones
que trabajan con dichas agencias estn obligadas por ley a mantener un nivel mnimo de control de
la seguridad. Si la seguridad no se administra proactivamente, los ejecutivos y las organizaciones se
exponen a riesgos debidos a infracciones que conllevan responsabilidades fiduciarias y legales.
Un camino mejor
El enfoque de Microsoft para la administracin de riesgos de seguridad proporciona un enfoque
proactivo que puede ayudar a las organizaciones de cualquier tamao a responder a los requisitos
que presentan estos retos del entorno y legales. Un proceso de administracin de riesgos de
seguridad formal permite que las empresas funcionen de un modo ms econmico con un nivel
conocido y aceptable de riesgos de negocios. Tambin ofrece a las organizaciones una forma
coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de
administrar el riesgo. Las ventajas de utilizar una administracin de riesgos de seguridad se
apreciarn al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable.
La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una
organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de
administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin,
recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de
riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin
para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o
vulnerabilidad de la empresa. Adems, un programa de administracin de riesgos eficaz ayudar a
la empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos
legislativos.
Funcin de Microsoft en la administracin de riesgos de seguridad

sta es la primera gua normativa publicada por Microsoft que se centra por completo en la
administracin de riesgos de seguridad. Basada en las experiencias propias de Microsoft y en las de
sus clientes, esta gua ha sido probada y revisada por clientes, socios y revisores tcnicos durante
su desarrollo. El objetivo de este esfuerzo es ofrecer una gua clara y aplicable acerca de cmo
implementar un proceso de administracin de riesgos de seguridad que proporcione numerosas
ventajas, entre las que se incluyen:
Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de un proceso
reactivo y frustrante.
Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad.
Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura en sus
entornos en vez de aplicar recursos escasos a todos los riesgos posibles.
Informacin general acerca de la gua

Esta gua emplea estndares del sector para ofrecer un hbrido de los modelos de administracin de
riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y
la efectividad. Durante un proceso de evaluacin de riesgos, los pasos cualitativos identifican
rpidamente los riesgos ms importantes. A continuacin se expone un proceso cuantitativo basado
en funciones y responsabilidades definidas cuidadosamente. Este enfoque es muy detallado y
conlleva un conocimiento exhaustivo de los riesgos ms importantes. La combinacin de pasos
cualitativos y cuantitativos en el proceso de administracin de riesgos proporciona la base sobre la
que pueden tomar decisiones slidas acerca del riesgo y la mitigacin, siguiendo un proceso
empresarial inteligente.
Nota: no se preocupe si algunos de los conceptos que se tratan en este resumen ejecutivo le
resultan nuevos; en los captulos se explican detalladamente. Por ejemplo, en el captulo 2, "Estudio
de prcticas de administracin de riesgos de seguridad", se examinan las diferencias entre los
enfoques cualitativos y cuantitativos de la evaluacin de riesgos.
El proceso de administracin de riesgos de seguridad de Microsoft permite que las organizaciones
implementen y mantengan procesos para identificar y asignar prioridades a los riesgos en sus
entornos de TI. El cambio de los clientes de un enfoque reactivo a uno proactivo mejora
fundamentalmente la seguridad en sus entornos. A su vez, una seguridad mejorada facilita una
mayor disponibilidad de las infraestructuras de TI y un mayor valor de negocios.
El proceso de administracin de riesgos de seguridad ofrece una combinacin de varios enfoques,
entre los que se incluyen anlisis cuantitativo puro, anlisis del rendimiento de la inversin en
seguridad (ROSI), anlisis cualitativo y enfoques de prcticas recomendadas. Es importante tener
en cuenta que en esta gua se trata un proceso y que no tiene requisitos de tecnologa especficos.
Factores importantes para el xito

Existen numerosas claves para lograr una implementacin satisfactoria de un programa de
administracin de riesgos de seguridad en una organizacin. Algunas de ellas resultan de especial
importancia y se presentarn aqu; otras se tratarn en la seccin "Claves para el xito" ms
adelante en este captulo.
En primer lugar, no se puede llevar a cabo una administracin de riesgos de seguridad si no se
cuenta con el apoyo y el compromiso del equipo directivo. Cuando la administracin de riesgos de
seguridad se dirige desde la cpula, las organizaciones pueden articular la seguridad en trminos de
valor para la empresa. A continuacin, una definicin clara de funciones y responsabilidades resulta
fundamental para el xito. Los responsables de negocios son los encargados de identificar las
repercusiones de un riesgo. Tambin se encuentran en la mejor posicin para articular el valor de
negocio de los activos que son necesarios para llevar a cabo sus funciones. El grupo de seguridad de
informacin se encarga de identificar la probabilidad de que se produzca el riesgo teniendo en
cuenta los controles actuales y propuestos. El grupo de tecnologa de informacin es el responsable
de implementar los controles que el comit directivo de seguridad ha seleccionado cuando la
probabilidad de una vulnerabilidad presenta un riesgo inaceptable.
Prximos pasos
La inversin en un programa de administracin de riesgos de seguridad (con un proceso slido y
factible as como funciones y responsabilidades definidas) prepara a una organizacin a articular
prioridades, planear la mitigacin de amenazas y afrontar amenazas y vulnerabilidades crticas para
la empresa. Utilice esta gua para evaluar su preparacin y orientar sus capacidades de
administracin de riesgos de seguridad. Si necesita o desea ms ayuda, pngase en contacto con un
equipo de cuentas de Microsoft o con un socio de Microsoft Services.
Destinatarios de la gua
Esta gua se ha diseado principalmente para consultores, especialistas en seguridad, arquitectos de
sistemas y profesionales de TI que son responsables de planear el desarrollo y la implementacin de
aplicaciones o infraestructuras en varios proyectos. Estas funciones incluyen las siguientes
descripciones de trabajo comunes:
Diseadores y arquitectos de sistemas que son responsables de los esfuerzos en materia de
arquitectura de sus organizaciones.

Miembros del equipo de seguridad de informacin que estn centrados exclusivamente en
proporcionar seguridad entre las plataformas de una organizacin.

Auditores de seguridad y de TI que son responsables de garantizar que las organizaciones han
adoptado las precauciones adecuadas para proteger sus activos de negocios importantes.
Ejecutivos, analistas de negocio y responsables de la toma de decisiones con objetivos y
requisitos de negocios cruciales que necesitan el apoyo de TI.

Consultores y socios que necesiten herramientas de transferencia de conocimientos para clientes
y socios empresariales.
mbito de la gua
El enfoque de esta gua est en el modo de planear, establecer y mantener un proceso de
administracin de riesgos de seguridad satisfactorio en las organizaciones de cualquier tamao y
tipo. En el material se explica cmo llevar a cabo cada fase de un proyecto de administracin de
riesgos y el modo de convertir el proyecto en un proceso continuo que permite a la organizacin
adoptar los controles ms tiles y asequibles para mitigar los riesgos de seguridad.
Informacin general del contenido

La Gua de administracin de riesgos de seguridad consta de seis captulos, que se describen a
continuacin brevemente. Cada captulo se basa en una prctica completa necesaria para iniciar y
poner en funcionamiento de forma eficaz un proceso de administracin de riesgos de seguridad
continuo en la organizacin. A continuacin de los captulos se incluyen varios apndices y
herramientas que le ayudarn a organizar sus proyectos de administracin de riesgos de seguridad.

seguridad
En este captulo se presenta la gua y se ofrece una breve descripcin de cada captulo.

seguridad
Es importante sentar las bases del proceso de administracin de riesgos de seguridad mediante la
revisin de las distintas formas en que las organizaciones han enfocado la administracin de riesgos
de seguridad en el pasado. Los lectores que ya tengan experiencia en administracin de riesgos de
seguridad pueden consultar el captulo rpidamente; se recomienda que los que tengan poca
experiencia en la seguridad o la administracin de riesgos lo lean detenidamente. El captulo
comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y reactivo de la
administracin de riesgos. Posteriormente, se vuelve a analizar el concepto de madurez de
administracin de riesgos organizativa que se presenta en el captulo 1, "Introduccin a la gua de
administracin de riesgos de seguridad". Finalmente, en el captulo se evala y se comparan la
administracin de riesgos cualitativa y la administracin de riesgos cuantitativa, los dos mtodos
tradicionales. El proceso se presenta como un mtodo alternativo, que proporciona un equilibrio
entre estas metodologas, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft.
Captulo 3: Informacin general acerca de la administracin de riesgos

de seguridad
En este captulo se proporciona un examen ms detallado del proceso de administracin de riesgos
de seguridad de Microsoft y se presentan algunos de los conceptos y claves importantes para el
xito. Tambin se ofrece orientacin acerca de cmo prepararse para el proceso mediante un
planeamiento eficaz y la creacin de un equipo de administracin de riesgos de seguridad slido con
funciones y responsabilidades bien definidas.

En este captulo se explica detalladamente la fase de evaluacin de riesgos del proceso de
administracin de riesgos de seguridad de Microsoft. Los pasos de esta fase incluyen el
planeamiento, la recopilacin de datos facilitados y la asignacin de prioridades a los riesgos. El
proceso de evaluacin de riesgos consta de varias tareas, algunas de las cuales pueden resultar
muy exigentes para una organizacin grande. Por ejemplo, la identificacin y la determinacin de
los valores de los activos de negocios pueden durar mucho tiempo. Otras tareas, como la
identificacin de amenazas y de vulnerabilidades, requieren grandes conocimientos tcnicos. Los
retos relacionados con estas tareas ilustran la importancia de un planeamiento correcto y de la
creacin de un equipo de administracin de riesgos de seguridad slo, tal como se recalca en el
captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad".
En la asignacin de prioridades a los riesgos de resumen, el equipo de administracin de riesgos de
seguridad utiliza un enfoque cualitativo para clasificar la lista completa de riesgos de seguridad para
poder identificar los ms importantes y someterlos a un mayor anlisis. A continuacin, los riesgos
principales se someten a un anlisis detallado mediante tcnicas cuantitativas. El resultado es una
lista breve de los riesgos ms importantes con mtricas detalladas que el equipo puede utilizar para
tomar decisiones sensatas durante la siguiente fase del proceso.

Durante la fase de apoyo a la toma de decisiones del proceso, el equipo de administracin de
riesgos de seguridad determina cmo afrontar los riesgos clave del modo ms eficaz y asequible. El
equipo identifica los controles, determina los costos asociados a la adquisicin, implementacin y
soporte de cada control, evala la reduccin del nivel de riesgo que logra cada control y, finalmente,
trabaja con el comit directivo de seguridad para determinar los controles que se implementarn. El
resultado final es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos
principales identificados en la fase de evaluacin de riesgos.
Captulo 6: Implementacin de controles y medicin de la efectividad

del programa
En este captulo se tratan las dos ltimas fases del proceso de administracin de riesgos de
seguridad de Microsoft: la implementacin de controles y la medicin de la efectividad del
programa. La fase de implementacin de controles se explica por s misma: los responsables de
mitigacin crean y ejecutan planes en funcin de la lista de soluciones de control surgida durante el
proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de
evaluacin de riesgos. En este captulo se proporcionan vnculos a indicaciones normativas que los
responsables de mitigacin de su organizacin pueden considerar tiles para responder a distintos
riesgos. La fase de medicin de la efectividad del programa es un proceso continuo en el que el
equipo de administracin de riesgos de seguridad comprueba peridicamente que los controles
implementados durante la fase anterior estn ofreciendo realmente el nivel de proteccin previsto.
Otro paso de esta fase consiste en valorar el progreso global que la organizacin est efectuando en
relacin con la administracin de riesgos de seguridad como un conjunto. En el captulo se introduce
el concepto de un "clculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento
de la actuacin de su organizacin. Finalmente, en el captulo se explica la importancia de vigilar los
cambios en el entorno informtico, como la adicin y eliminacin de sistemas y aplicaciones o la
aparicin de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la
organizacin adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes.
Apndice A: Evaluaciones ad hoc

En este apndice se compara el proceso de evaluacin de riesgos de empresa formal con el enfoque
ad hoc que muchas organizaciones adoptan. Se destacan las ventajas y las desventajas de cada
mtodo y se sugiere cundo resulta ms sensato utilizar uno u otro.
Apndice B: Activos comunes del sistema de informacin

En este apndice se enumeran los activos del sistema de informacin que se encuentran
habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es
improbable que represente todos los activos del entorno nico de su organizacin. Por lo tanto, es
importante que personalice la lista durante el proceso de evaluacin de riesgos. Se proporciona
como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar.
Apndice C: Amenazas comunes

En este apndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama
de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por
lo tanto, es importante que quite las amenazas que no son relevantes para su organizacin y
agregue las identificadas recientemente durante la fase de evaluacin de su proyecto. Se
proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a
empezar.
Apndice D: Vulnerabilidades
En este apndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia
gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar
actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su
organizacin y agregue las identificadas recientemente durante el proceso de evaluacin de riesgos.
Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a
empezar.
Herramientas y plantillas
En esta gua se incluye una serie de herramientas y plantillas que facilitarn a su organizacin la
implementacin del proceso de administracin de riesgos de seguridad de Microsoft. Estas
herramientas y plantillas estn incluidas en un archivo WinZip autoextrable que est disponible en
el Centro de descarga. Tenga en cuenta que la descarga tambin contiene una copia de esta gua. Al
extraer los archivos del archivo de almacenamiento descargado, se crea la siguiente estructura de
carpetas en la ubicacin especificada:
\Gua de administracin de riesgos de seguridad: contiene la versin de esta gua en un
archivo de formato de documento porttil (PDF).

\Gua de administracin de riesgos de seguridad\Herramientas y plantillas: contiene los
siguientes archivos:
Plantilla de recopilacin de datos (GARSHerramienta1-Herramienta de recopilacin de

datos.doc). Puede utilizar esta plantilla en la fase de evaluacin de riesgos durante los talleres
que se describen en el captulo 4, "Evaluacin del riesgo".
Hoja de trabajo Anlisis de riesgos de nivel de resumen (GARSHerramienta2-Nivel de riesgo de

resumen.xls). Esta hoja de trabajo de Microsoft Excel ayudar a su organizacin a realizar el
primer paso del anlisis de riesgos: el anlisis de nivel de resumen.
Hoja de trabajo Anlisis de riesgos de nivel de detalle (GARSHerramienta3-Asignacin de

prioridades a los riesgos de nivel detallado.xls). Esta hoja de trabajo de Excel ayudar a su
organizacin a realizar un anlisis ms exhaustivo de los riesgos principales identificados
durante el anlisis de nivel de resumen.
Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Esta hoja de

trabajo de Excel muestra un programa de proyecto de alto nivel para el proceso de
administracin de riesgos de seguridad. Incluye las fases, los pasos y las tareas descritos a lo
largo de la gua.
Claves para el xito

Siempre que una organizacin emprende una nueva iniciativa importante, deben existir varios
elementos fundamentales si se desea que el esfuerzo tenga xito. Microsoft ha identificado los
componentes que deben existir antes de la implementacin de un proceso de administracin de
riesgos de seguridad con xito y que deben seguir existiendo una vez se ha puesto en marcha. Se
trata de:
Patrocinio ejecutivo.
Lista bien definida de los participantes en la administracin de riesgos.
Madurez organizativa en administracin de riesgos.
Ambiente de comunicaciones abiertas.
Espritu de trabajo en equipo.
Visin holstica de la organizacin.
Autoridad de equipo de administracin de riesgos de seguridad.

En las siguientes secciones se tratan estos elementos necesarios en todo el proceso de
administracin de riesgos; los adicionales que resulten pertinentes para fases especficas se indican
en los captulos donde se explican dichas fases.
Patrocinio ejecutivo
Los directivos deben apoyar de forma clara y con entusiasmo el proceso de administracin de
riesgos de seguridad. Sin este patrocinio, los participantes pueden oponerse o socavar los esfuerzos
para utilizar la administracin de riesgos con el fin de lograr que la organizacin sea ms segura.
Asimismo, sin un patrocinio ejecutivo claro, los empleados pueden hacer caso omiso a las directivas
acerca del modo de llevar a cabo su trabajo o no ayudar a proteger los activos organizativos.
Existen numerosos motivos posibles por los que los empleados no colaboren. Entre otros, se puede
mencionar la resistencia generalizada a los cambios, la falta de consideracin acerca de la
importancia de una administracin de riesgos eficaz, la creencia no exactamente cierta de que ellos,
como individuos, poseen unos conocimientos slidos acerca de cmo proteger los activos de
negocios aunque su punto de vista pueda no ser tan amplio o profundo como el del equipo de
administracin de riesgos de seguridad o la creencia de que su parte de la organizacin nunca ser
objetivo de los posibles piratas informticos.
El patrocinio implica lo siguiente:
Delegacin de autoridad y responsabilidad al equipo de administracin de riesgos de seguridad
para un alcance de proyecto articulado de forma clara.

Apoyo a la participacin de todo el personal segn sea necesario.
Asignacin de recursos suficientes, como personal y recursos financieros.
Apoyo claro y enrgico al proceso de administracin de riesgos de seguridad.

Participacin en la revisin de los resultados y las recomendaciones del proceso de administracin
de riesgos de seguridad.
Lista bien definida de los participantes en la administracin de

riesgos
En esta gua con frecuencia se hace referencia al trmino participantes, que en este contexto
significa miembros de la organizacin que estn interesados en los resultados del proceso de
administracin de riesgos de seguridad. El equipo de administracin de riesgos de seguridad tiene
que saber quines son todos los participantes, incluido el propio equipo nuclear as como los
patrocinadores ejecutivos. Tambin se incluyen las personas que se encargan de los activos de
negocios que se evaluarn. El personal de TI responsable de disear, implementar y administrar los
activos de negocios tambin son participantes clave.
Los participantes se deben identificar para que se puedan incorporar al proceso de administracin
de riesgos de seguridad. El equipo de administracin de riesgos de seguridad debe dedicar tiempo
en ayudarles a comprender el proceso y el modo en que pueden colaborar para proteger sus activos
y ahorrar dinero a largo plazo.
Madurez organizativa en administracin de riesgos

Si una organizacin no dispone actualmente de un proceso de administracin de riesgos de
seguridad, el proceso de Microsoft puede implicar demasiados cambios para implementarlo por
completo. Aunque una organizacin tenga algunos procesos informales, como esfuerzos ad hoc que
se ponen en marcha como respuesta a problemas de seguridad especficos, el proceso puede
parecer abrumador. No obstante, puede resultar eficaz en organizacin con ms madurez en
administracin de riesgos; la madurez se hace patente en cuestiones como procesos de seguridad
bien definidos y un conocimiento y aceptacin slidos de la administracin de riesgos de seguridad
en muchos niveles de la organizacin. En el captulo 3, "Informacin general acerca de la
administracin de riesgos de seguridad", se trata el concepto de madurez de administracin de
riesgos de seguridad y cmo calcular el nivel de madurez de su organizacin.
Ambiente de comunicaciones abiertas

Muchas organizaciones y proyectos funcionan exclusivamente sobre la base de "quien necesite
saberlo", que con frecuencia provoca equivocaciones y merma la capacidad de un equipo para
ofrecer una solucin satisfactoria. El proceso de administracin de riesgos de seguridad de Microsoft
requiere un enfoque abierto y honesto de las comunicaciones, tanto dentro del equipo como con los
participantes clave. Un flujo libre de la informacin no slo reduce el riesgo de equivocaciones y
esfuerzos desperdiciados, sino que tambin garantiza que todos los miembros del equipo pueden
contribuir para reducir las incertidumbres que rodean al proyecto. Un debate abierto y honesto
acerca de los riesgos que se han identificado y los controles que pueden mitigarlos de forma eficaz
resulta crucial para el xito del proceso.
Espritu de trabajo en equipo

La solidez y la validez de las relaciones entre todas las personas que trabajan en el proceso de
administracin de riesgos de Microsoft tendrn un efecto muy importante en el esfuerzo.
Independientemente del apoyo de los directivos, las relaciones establecidas entre el personal y
responsables de seguridad y el resto de la organizacin son fundamentales para el xito global del
proceso. Resulta muy importante que el equipo de administracin de riesgos de seguridad fomente
un espritu de trabajo en equipo con cada uno de los representantes de las unidades de negocios
con los que trabajen a lo largo del proyecto. El equipo puede facilitar este hecho si demuestra de
forma eficaz el valor de negocios de la administracin de riesgos de seguridad a los responsables
individuales de las unidades de negocios y si muestra al personal el modo en que el proyecto, a
largo plazo, puede facilitarles su trabajo.
Visin holstica de la organizacin

Todos los participantes implicados en el proceso de Microsoft, en concreto el equipo de
administracin de riesgos de seguridad, deben tener en cuenta a toda la organizacin durante su
trabajo. Lo que resulta adecuado para un empleado concreto no suele serlo para la organizacin
como un conjunto. Del mismo modo, lo que es ms beneficioso para una unidad de negocios puede
no corresponder a los mejores intereses de la organizacin. El personal y los responsables de una
determinada unidad de negocios intentarn instintivamente que los resultados del proceso sean
beneficiosos para ellos y sus partes de la organizacin.
Autoridad a travs del proceso

Los participantes del proceso de administracin de riesgos de seguridad de Microsoft aceptan la
responsabilidad de identificar y controlar los riesgos de seguridad ms importantes para la
organizacin. Con el fin de mitigar de forma eficaz estos riesgos mediante la implementacin de
controles razonables, tambin necesitan autoridad suficiente para efectuar los cambios adecuados.
Los miembros del equipo deben poder cumplir los compromisos asignados. Para ello, es necesario
que a los miembros del equipo se les concedan los recursos necesarios para llevar a cabo su
trabajo, que sean responsables de las decisiones que afecten a su trabajo y que comprendan los
lmites de su autoridad y las rutas de traslado a niveles superiores disponibles para tratar los
problemas que trasciendan dichos lmites.
Trminos y definiciones
En ocasiones, la terminologa relacionada con la administracin de riesgos de seguridad puede
resultar difcil de entender. En otras ocasiones, un trmino de fcil identificacin puede ser
interpretado de forma distinta por diferentes personas. Por estos motivos, es importante que
comprenda las definiciones que los autores de esta gua han utilizado para los trminos importantes
que aparecen en ella. Muchas de las definiciones indicadas a continuacin proceden de documentos
publicados por dos organizaciones: International Standards Organization (ISO) e Internet
Engineering Task Force (IETF). Las direcciones Web de dichas organizaciones se proporcionan en la
seccin "Informacin adicional" ms adelante en este captulo. En la siguiente lista se proporciona
una perspectiva unificada de los componentes clave de la administracin de riesgos de seguridad:
Expectativa de prdida anual (ALE): importe monetario total que una organizacin perder
en un ao si no se emprende ninguna accin para mitigar un riesgo.

Frecuencia anual (ARO): nmero de veces que se prev que se produzca un riesgo durante un
ao.
Activo: cualquier elemento de valor para una organizacin, como componentes de hardware y
software, datos, personas y documentacin.

Disponibilidad: propiedad de un sistema o un recurso del sistema que garantiza que se puede
tener acceso y utilizar segn lo solicite un usuario de sistema autorizado. La disponibilidad es una
de las caractersticas bsicas de un sistema seguro.
CID: consulte confidencialidad, integridad y disponibilidad.
Confidencialidad: propiedad de que la informacin no se revela ni pone a disposicin de
personas, entidades o procesos no autorizados (ISO 7498-2).

Control: medio organizativo, de procedimiento o tecnolgico para administrar el riesgo; es
sinnimo de proteccin o contramedida.

Anlisis de costo-beneficio: estimacin y comparacin del valor relativo y el costo asociado a
cada control propuesto para que se implementen los ms eficaces.

Apoyo a la toma de decisiones: asignacin de prioridades a los riesgos segn el anlisis de
costo-beneficio. El costo de la solucin de seguridad para mitigar un riesgo se compara con la

ventaja para el negocio de mitigar el riesgo.
Defensa en profundidad: enfoque en el que se utilizan varios niveles de seguridad para
protegerse del error de un solo componente de seguridad.

Aprovechamiento: medio de utilizar una vulnerabilidad para poner en peligro las actividades de
negocios o la seguridad de la informacin.

Exposicin: accin de amenaza en la que los datos confidenciales se revelan a una entidad no
autorizada (RFC 2828). El proceso de administracin de riesgos de seguridad de Microsoft limita

esta definicin para centrarse en el alcance de los daos en un activo empresarial.
Efecto: prdida de negocios global prevista cuando una amenaza aprovecha una vulnerabilidad
en un activo.
Integridad: propiedad de que los datos no se han modificado ni destruido de un modo no
autorizado (ISO 7498-2).

Mitigacin: solucin de un riesgo mediante la adopcin de medidas diseadas para contrarrestar
la amenaza.
Solucin de mitigacin: implementacin de un control (organizativo, de procedimiento o
tecnolgico) para hacer frente a un riesgo de seguridad.

Probabilidad: posibilidad de que se produzca un suceso.
Administracin de riesgos cualitativa: enfoque de la administracin de riesgos en el que los
participantes asignan valores relativos a activos, riesgos, controles y efectos.

Administracin de riesgos cuantitativa: enfoque de la administracin de riesgos en el que los
participantes intentan asignar valores numricos objetivos (por ejemplo, valores monetarios) a
activos, riesgos, controles y efectos.
Reputacin: opinin que las personas tienen de una organizacin; la reputacin de la mayora
de las organizaciones tiene un valor real aunque sea intangible y difcil de calcular.
Rendimiento de la inversin en seguridad (ROSI): importe monetario total que una
organizacin prev ahorrar en un ao si implementa un control de seguridad.

Riesgo: combinacin de la probabilidad de un suceso y sus consecuencias (gua 73 de ISO).
Evaluacin de riesgos: proceso mediante el que se identifican los riesgos y se determinan sus
efectos.
Administracin de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el
nivel de riesgo actual, adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho
nivel de riesgo.
Expectativa de prdida simple (SLE): importe total de los ingresos que se perdern si se
produce una vez un riesgo.

Amenaza: causa posible de un efecto no deseado en un sistema u organizacin (ISO 13335-1).
Vulnerabilidad: cualquier debilidad, proceso administrativo, acto o exposicin fsica que permita
que una amenaza ataque a un activo de informacin.

Convenciones de estilo
En esta gua se utilizan las siguientes convenciones de estilo y terminologa.
Tabla 1.1: Convenciones de estilo
Elemento Significado
Nota Avisa al lector de que hay informacin adicional.
Ejemplo de Woodgrove Avisa al lector de que hay contenido relacionado con la empresa ficticia de
ejemplo, "Woodgrove Bank".
Obtencin de ayuda para esta gua

En esta gua se pretende describir de forma clara un proceso que las organizaciones pueden seguir
para implementar y mantener un programa de administracin de riesgos. Si necesita ayuda para
implementar un programa de administracin de riesgos, debe ponerse en contacto con su equipo de
cuentas de Microsoft. Para este documento no existe asistencia telefnica.
Las opiniones y las dudas acerca de esta gua se pueden enviar a secwish@microsoft.com.
Informacin adicional
Las siguientes fuentes de informacin eran las ms recientes disponibles acerca de los temas
estrechamente relacionados con la administracin de riesgos de seguridad en el momento de
publicar esta gua.
Microsoft Operations Framework (MOF) proporciona orientacin que permite a las organizaciones
aumentar la confiabilidad, disponibilidad, compatibilidad y manejabilidad de los productos y las
tecnologas de Microsoft que resultan fundamentales para su labor. MOF proporciona orientacin
operativa en notas del producto, guas de operaciones, herramientas de evaluacin, prcticas
recomendadas, estudios de casos, plantillas, herramientas de asistencia y servicios. El objetivo de
esta gua es orientar en todas las cuestiones administrativas, de personal, de proceso y tecnolgicas
que suelen surgir en cualquier entorno de TI distribuido, heterogneo y complejo. En
www.microsoft.com/mof hay disponible ms informacin acerca de MOF.
Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con xito los planes de accin
creados como parte del proceso de administracin de riesgos de seguridad de Microsoft. Se ha
diseado para ayudar a las organizaciones a ofrecer soluciones de tecnologa de alta calidad
puntuales y segn lo presupuestado. MSF sintetiza un enfoque bien disciplinado orientado hacia los
proyectos tecnolgicos basndose en un conjunto definido de principios, modelos, disciplinas,
conceptos, orientaciones y prcticas demostradas de Microsoft. Para obtener ms informacin
acerca de MSF, consulte www.microsoft.com/msf.
El Centro de instrucciones de seguridad de Microsoft (SGC) constituye una coleccin exhaustiva y
bien organizada de documentacin que trata una amplia variedad de temas de seguridad. SGC est
disponible en www.microsoft.com/security/guidance/default.mspx.
Microsoft Windows 2000 Server Solution for Security es una solucin normativa dirigida a reducir las
vulnerabilidades de seguridad as como los costos de exposicin y la administracin de seguridad en
entornos de Microsoft Windows 2000. Los captulos 2, 3 y 4 de la gua Microsoft Windows 2000
Server Solution for Security contienen la primera gua de administracin de riesgos de seguridad
que ha publicado Microsoft, que se denomina Disciplina de administracin de riesgos de seguridad
(SRMD). La gua que est leyendo reemplaza el contenido de administracin de riesgos de seguridad
de la gua Microsoft Windows 2000 Server Solution for Security. Esta gua esta disponible en
http://go.microsoft.com/
fwlink/?LinkId=14837.
El instituto National Institute for Standards and Technology (NIST) ofrece una excelente gua acerca
de la administracin de riesgos titulada Risk Management Guide for Information Technology
Systems (enero de 2002). Est disponible http://csrc.nist.gov/publications/nistpubs/800-30/
sp800-30.pdf.
NIST tambin ofrece la gua titulada The Security Self-Assessment Guide for Information
Technology Systems (noviembre de 2001) acerca de cmo realizar la evaluacin de su organizacin.
Est disponible en http://csrc.nist.gov/publications/nistpubs/800-26/
sp800-26.pdf.
La organizacin ISO ofrece un cdigo de alto nivel de prctica denominado Information technology
Code of practice for information security management; tambin se denomina ISO 17799. Se
puede adquirir en www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?
CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=.
La organizacin ISO ha publicado varios documentos de estndares, algunos de los cuales se
mencionan en esta gua. Se pueden adquirir en www.iso.org.
La organizacin Computer Emergency Response Team (CERT), que se encuentra en el centro
Software Engineering Institute de la universidad Carnegie-Mellon, ha creado OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability Evaluation SM), una tcnica de autoevaluacin
y planeamiento de riesgos. En www.cert.org/octave hay disponible ms informacin acerca de
OCTAVE.
En CobiT (Control Objectives for Information and Related Technology) se ofrecen estndares de
aplicacin y aceptacin general para prcticas recomendadas de seguridad y control de TI que
proporcionan un marco de referencia a directivos, usuarios y especialistas de auditora, control y
seguridad de sistemas de informacin. Se puede adquirir en lnea en el instituto IT Governance
Institute en www.itgi.org/cobit.
La organizacin IETF ha publicado el documento 2828 de Request for Comments (RFC), que es un
memorando disponible pblicamente donde se proporcionan definiciones estndar para numerosos
trminos de seguridad de sistemas de informacin. Est disponible en
www.faqs.org/rfcs/rfc2828.html.
Este captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y
reactivo de la administracin de riesgos de seguridad. A continuacin, en el captulo se evalan y se
comparan la administracin de riesgos de seguridad cualitativa y la cuantitativa, los dos mtodos
tradicionales. El proceso de administracin de riesgos de seguridad de Microsoft se presenta como
un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un
proceso que ha demostrado su eficacia en Microsoft.
Nota: es importante sentar las bases del proceso de administracin de riesgos de seguridad
mediante la revisin de las distintas formas en que las organizaciones han enfocado la
administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en
administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda
que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean
detenidamente.

seguridad
Este captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y
reactivo de la administracin de riesgos de seguridad. A continuacin, en el captulo se evalan y se
comparan la administracin de riesgos de seguridad cualitativa y la cuantitativa, los dos mtodos
tradicionales. El proceso de administracin de riesgos de seguridad de Microsoft se presenta como
un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un
proceso que ha demostrado su eficacia en Microsoft.
Nota: es importante sentar las bases del proceso de administracin de riesgos de seguridad
mediante la revisin de las distintas formas en que las organizaciones han enfocado la
administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en
administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda
que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean
detenidamente.
Comparacin de los enfoques de administracin de riesgos
Muchas organizaciones se han introducido en la administracin de riesgos de seguridad debido a la
necesidad de responder a una incidencia de seguridad relativamente pequea. Por ejemplo, el
equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto
informtico debe averiguar cmo tiene que erradicar el virus sin destruir el equipo ni los datos que
contiene. Independientemente de cul sea la incidencia inicial, a medida que aparecen cada vez
ms problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios,
muchas organizaciones sienten frustracin al tener que responder a una crisis tras otra. Desean una
alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las
incidencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo
de forma eficaz evolucionan a un enfoque ms proactivo pero, como se explicar en este captulo,
esto slo constituye parte de la solucin.
Enfoque reactivo
Actualmente, muchos profesionales de tecnologa de informacin (TI) sienten una tremenda presin
para terminar sus tareas rpidamente y provocar las menos incomodidades posibles a los usuarios.
Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo nico
para lo que tienen tiempo de hacer es contener la situacin, averiguar qu ha sucedido y reparar los
sistemas lo ms rpidamente posible. Algunos pueden intentar identificar la causa principal, pero
esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un
enfoque reactivo puede constituir una respuesta tctica eficaz a los riesgos de seguridad
descubiertos y se han convertido en incidencias de seguridad, la imposicin de un pequeo nivel de
rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus
recursos.
Las incidencias de seguridad recientes pueden servir de ayuda para que una organizacin se
prepare y prevea los problemas futuros. Esto significa que una organizacin que dedica tiempo a
responder a las incidencias de seguridad de un modo calmado y racional mientras determina los
motivos subyacentes que han permitido que se produjera la incidencia podr protegerse mejor de
problemas similares en el futuro y responder con ms rapidez a otros problemas que puedan
aparecer.
Queda fuera del alcance de esta gua el examen en profundidad de la respuesta a incidencias, pero
los siguientes seis pasos al responder a incidencias de seguridad pueden ayudarle a afrontarlos de
un modo rpido y eficaz:
1. Proteger la vida humana y la seguridad de las personas. sta debe ser siempre la primera
prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de vida,
apagarlos puede no ser una opcin; tal vez se pueden aislar lgicamente los sistemas en la red
cambiando la configuracin de enrutadores y conmutadores sin interrumpir su capacidad de
ayudar a los pacientes.
2. Contener el dao. Contener el dao que ha provocado el ataque ayuda a limitar daos
adicionales. Proteja rpidamente los datos, el software y el hardware importantes. Minimizar la
alteracin de los recursos informacin es una consideracin importante, pero mantener los
sistemas conectados durante un ataque puede causar ms problemas y de mayor difusin a
largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daos
desconectando los servidores de la red. No obstante, desconectar los servidores puede resultar
ms perjudicial que beneficioso. Utilice su criterio y conocimientos de la red y sistemas para
tomar esta decisin. Si determina que no habr efectos negativos o que estos se vern
compensados por las ventajas positivas de la actividad, la contencin se debe iniciar lo ms
pronto posible durante una incidencia de seguridad mediante la desconexin de la red de los
sistemas que estn afectados. Si no puede contener el dao mediante el aislamiento de los
servidores, supervise activamente las acciones del pirata informtico para poder reparar los
daos tan pronto como sea posible. Ante cualquier incidencia, asegrese de que todos los
archivos de registro se guardan antes de apagar los servidores con el fin de conservar la
informacin que contienen dichos archivos como prueba si usted (o sus abogados) la necesitan
posteriormente.
3. Evaluar el dao. Cree inmediatamente un duplicado de los discos duros de los servidores
atacados y qutelos para realizar un examen forense posterior. A continuacin, evale los daos.
Debe empezar por determinar el alcance de los daos que el ataque ha causado tan pronto
como sea posible, inmediatamente despus de contener la situacin y duplicar los discos duros.
Esta accin es importante para poder restaurar las operaciones de la organizacin tan pronto
como sea posible, al mismo tiempo que se conserva una copia de los discos duros para su
investigacin. Si no se puede evaluar el dao de forma oportuna, debe implementar un plan de
contingencias para que las operaciones de negocios normales y la productividad puedan
continuar. En este momento las organizaciones pueden establecer contacto con los cuerpos de
seguridad en relacin con la incidencia; no obstante, debe establecer y mantener relaciones con
los cuerpos de seguridad que tengan jurisdiccin sobre la actividad de su organizacin antes de
que se produzca una incidencia para que, cuando aparezca un problema grave, sepa con quin
debe ponerse en contacto y con quin debe colaborar. Tambin debe avisar inmediatamente al
departamento jurdico de su empresa para que pueda determinar si es posible emprender una
demanda civil como consecuencia de los daos.
4. Determinar la causa del dao. Para determinar el origen del asalto, es necesario conocer los
recursos a los que iba dirigido el ataque y las vulnerabilidades que se han aprovechado para
obtener acceso o interrumpir los servicios. Revise la configuracin del sistema, el nivel de
revisin, los registros del sistema, los registros de auditora y las pistas de auditora en los
sistemas afectados directamente y en los dispositivos de red que les enrutan el trfico.
Normalmente, estas revisiones ayudan a descubrir dnde se ha originado el ataque en el
sistema y los dems recursos afectados. Debe llevar a cabo esta actividad en los sistemas
informticos instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas
unidades deben permanecer intactas con fines forenses de modo que los cuerpos de seguridad
o sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la
justicia. Si necesita crear una copia de seguridad para efectuar pruebas con el fin de determinar
la causa del dao, cree una segunda copia de seguridad del sistema original y no utilice las
unidades creadas en el paso 3.
5. Reparar el dao. Es de suma importancia que se repare el dao tan pronto como sea posible
para as restaurar las operaciones de negocios normales y los datos que se han perdido durante
el ataque. Los planes y procedimientos de continuidad de negocio de la organizacin deben
cubrir la estrategia de restauracin. El equipo de respuesta a incidencias tambin debe estar
disponible para encargarse del proceso de restauracin y recuperacin, o para proporcionar
orientacin acerca del proceso al equipo responsable. Durante la recuperacin, se ejecutan los
procedimientos de contingencias con el fin de evitar una mayor propagacin del dao y aislarlo.
Antes de devolver los sistemas reparados al servicio, tenga cuidado de que no se vuelvan a
infectar inmediatamente; para ello, asegrese de que ha mitigado las vulnerabilidades que se
hayan atacado durante la incidencia.
6. Revisar las directivas de respuesta y actualizacin. Despus de haber completado las
fases de documentacin y recuperacin, debe revisar a fondo el proceso. Determine con su
equipo cules son los pasos que se realizaron correctamente y qu errores se cometieron. En
casi todos los casos, descubrir que es necesario modificar los procesos para permitirle
administrar mejor las incidencias en el futuro. Inevitablemente encontrar debilidades en su
plan de respuesta a incidencias. En esto estriba la cuestin de este ejercicio detallado: se
buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso de plan
de respuesta a incidencias para poder afrontar las incidencias futuras con menos problemas.
Esta metodologa se ilustra en el siguiente diagrama:
Figura 2.1 Proceso de respuesta a incidencias
Enfoque proactivo
La administracin de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un
enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuacin, llevar a cabo la
respuesta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan
planes para proteger los activos importantes de la organizacin mediante la implementacin de
controles que reduzcan el riesgo de que el software malintencionado, los piratas informticos o un
uso incorrecto accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una
analoga. La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en
Estados Unidos cada ao. De ellas, ms de 100.000 deben recibir tratamiento en hospitales y cerca
de 36.000 mueren. Podra tratar la amenaza de la enfermedad esperando a infectarse y, despus,
tomar la medicina para tratar los sntomas si enferma. O tambin podra optar por vacunarse antes
de que comenzara la temporada de la gripe.
Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un
enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el nmero de
incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas
desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus
procesos de respuesta a incidencias mientras desarrollan simultneamente enfoques proactivos a
largo plazo.
En las secciones posteriores de este captulo, y en el resto de los captulos de esta gua, se
examinar la administracin de riesgos de seguridad proactiva en profundidad. Todas las
metodologas de administracin de riesgos de seguridad comparten algunos procedimientos de alto
nivel comunes:
1. Identificar los activos de negocios.
2. Determinar el dao que un ataque a un activo podra provocar a la organizacin.
3. Identificar las vulnerabilidades que aprovechar el ataque.
4. Determinar el modo de minimizar el riesgo de ataque mediante la implementacin de los
controles adecuados.
Enfoques de asignacin de prioridades a riesgos

Los trminos administracin de riesgos y evaluacin de riesgos se utilizan con frecuencia en esta
gua y, aunque estn relacionados, no se pueden usar indistintamente. El proceso de administracin
de riesgos de seguridad de Microsoft define la administracin de riesgos como el esfuerzo global
para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos
se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa.
Hay numerosas metodologas distintas para asignar prioridades a los riesgos o evaluarlos, pero la
mayora estn basadas en uno de estos dos enfoques o en una combinacin de ambos:
administracin de riesgos cuantitativa o administracin de riesgos cualitativa. Consulte en la lista de
recursos de la seccin "Informacin adicional" al final del captulo 1, "Introduccin a la gua de
administracin de riesgos de seguridad", los vnculos a otras metodologas de evaluacin de riesgos.
En las siguientes secciones de este captulo se ofrecen un resumen y una comparacin de la
evaluacin de riesgos cuantitativa y la cualitativa, seguidos de una breve descripcin del proceso de
administracin de riesgos de seguridad de Microsoft para que pueda apreciar cmo combina
aspectos de ambos enfoques.
Evaluacin de riesgos cuantitativa

En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numricos objetos
para cada uno de los componentes recopilados durante la evaluacin de riesgos y el anlisis de
costo-beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en funcin de
lo que costara reemplazarlo, lo que costara en prdida de productividad, lo que costara en
reputacin de marca y en otros valores de negocios directos e indirectos. Intente emplear la misma
objetividad al calcular la exposicin de activos, el costo de controles y el resto de los valores que
identifique durante el proceso de administracin de riesgos.
Nota: en esta seccin se pretende mostrar a grandes rasgos algunos de los pasos de las
evaluaciones de riesgos cuantitativas; no se trata de una gua normativa para utilizar dicho enfoque
en proyectos de administracin de riesgos de seguridad.
Existen algunos puntos dbiles importantes que son inherentes a este enfoque y que no se pueden
solventar fcilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma
eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrece ms
detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en
estimaciones. Cmo es posible calcular de un modo preciso y exacto las repercusiones que una
incidencia de seguridad de amplia difusin podra tener en la marca? Se pueden examinar los datos
histricos, si estn disponibles, pero no suelen estarlo.
En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspectos
de la administracin de riesgos cuantitativa han comprobado que el proceso es excesivamente
costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y
normalmente implican a muchos miembros del personal con discusiones acerca de cmo se han
calculado los valores fiscales especficos. En tercer lugar, en organizaciones con valores de alto valor,
el costo de exposicin puede ser tan alto que se gastara una ingente cantidad de dinero en mitigar
los riesgos a los que estuvieran expuestas. Pero esto no es realista, una organizacin no gastara
todo su presupuesto en proteger un solo activo, ni siquiera los cinco principales.
Detalles del enfoque cuantitativo

En este punto, puede resultar til disponer de una descripcin general de las ventajas y los
inconvenientes de las evaluaciones de riesgos cuantitativas. En el resto de esta seccin se examinan
algunos de los factores y valores que normalmente se evalan durante una evaluacin de riesgos
cuantitativa, como la valoracin de activos, el costo de los controles, la determinacin del
rendimiento de la inversin en seguridad (ROSI) y el clculo de valores para la expectativa de
prdida simple (SLE), la frecuencia anual (ARO) y la expectativa de prdida anual (ALE). No se trata
en absoluto de un examen exhaustivo de todos los aspectos de la evaluacin de riesgos
cuantitativa, sino de un breve examen de algunos detalles de dicho enfoque para que compruebe
que las cifras que conforman la base de todos los clculos son subjetivas en s mismas.
Valoracin de activos
La determinacin del valor monetario de un activo es una parte importante de la administracin de
riesgos de seguridad. A menudo, los directores se basan en el valor de un activo como orientacin
para determinar el dinero y tiempo que deben invertir para protegerlo. Muchas organizaciones
conservan una lista de valores de los activos como parte de los planes de continuidad de negocios.
No obstante, las cifras calculadas en realidad son estimaciones subjetivas: no existe ninguna
herramienta o mtodo para determinar el valor de un activo. Para asignar un valor a un activo, se
deben calcular los tres factores principales siguientes:
El valor global del activo en la organizacin. Calcule o estime el valor del activo en trminos
financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la interrupcin

temporal de un sitio Web de comercio electrnico que normalmente funciona siete das a la
semana, 24 horas al da, y que genera un promedio de 2.000 dlares por hora en ingresos
procedentes de los pedidos de los clientes. Puede establecer con seguridad que el valor anual del
sitio Web en trminos de ingresos por ventas es de 17.520.000 dlares.
La repercusin financiera inmediata de la prdida del activo. Si simplificamos
deliberadamente el ejemplo anterior y suponemos que el sitio Web genera una tasa constante por
hora y el mismo sitio Web deja de estar disponible durante seis horas, la exposicin calculada es
de un 0,000685% por ao. Al multiplicar este porcentaje de exposicin por el valor anual del
activo, podr predecir que las prdidas directamente atribuibles en este caso seran de 12.000
dlares. En realidad, la mayora de los sitios Web de comercio electrnico generan ingresos con
unas tasas muy distintas segn la hora del da, el da de la semana, la estacin, las campaas de
publicidad y otros factores. Adems, algunos clientes pueden encontrar un sitio Web alternativo
que prefieran al original, por lo que dicho sitio Web puede tener una prdida de usuarios
permanente. En realidad, calcular la prdida de ingresos resulta bastante complejo si se quiere
ser preciso y tener en cuenta todos los tipos posibles de prdida.
La repercusin de negocios indirecta de la prdida del activo. En este ejemplo, la empresa
estima que gastar 10.000 dlares en publicidad para contrarrestar la propaganda negativa de
una incidencia. Asimismo, la empresa tambin estima una prdida de un 0,01% a un 1% de
ventas anuales, o 17.520 dlares. Mediante la combinacin de los gastos de publicidad
adicionales y de la prdida ingresos por ventas anuales, en este caso se puede predecir un total
de 27.520 dlares en prdidas indirectas.
Determinacin de la expectativa de prdida simple
La expectativa de prdida simple es la cantidad total de ingresos que se pierde por una nica
incidencia del riesgo. Se trata de un importe monetario que se asigna a un nico suceso que
representa la cantidad de prdida potencial de la empresa, en caso de que una amenaza especfica
aproveche una vulnerabilidad. (La expectativa de prdida simple es similar a la repercusin de un
anlisis de riesgos cualitativo.) Calcule dicha expectativa multiplicando el valor del activo por el
factor de exposicin. Dicho factor representa el porcentaje de prdida que una amenaza realizada
podra suponer para un determinado activo. Si un conjunto de servidores Web tiene un valor de
activo de 150.000 dlares y un incendio provoca daos estimados en el 25% de su valor, en este
caso la expectativa de prdida simple ser de 37.500 dlares. No obstante se trata de un ejemplo
muy simplificado, ya que es necesario tener en cuenta otros gastos.
Determinacin de la frecuencia anual
La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el
ao. La elaboracin de estas estimaciones resulta muy difcil; existen muy pocos datos actuariales
disponibles. Lo que se ha recopilado hasta ahora parece ser informacin privada que poseen unas
pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias
anteriores y consulte a expertos en administracin de riesgos, adems de consultores de negocios y
de seguridad. La frecuencia anual es similar a la probabilidad de un anlisis de riesgos cualitativo y
va del 0% (nunca) al 100% (siempre).
Determinacin de la expectativa de prdida anual
La expectativa de prdida anual es la cantidad total de dinero que la organizacin perder en un ao
si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de
prdida simple por la frecuencia anual. La expectativa de prdida anual es similar al intervalo
relativo de un anlisis de riesgo cualitativo.
Por ejemplo, si un incendio en el conjunto de servidores Web de la misma empresa provoca daos
valorados en 37.500 dlares y la probabilidad, o frecuencia anual, de que se produzca un incendio
tiene un valor 0,1 (lo que indica una vez cada diez aos), en este caso el valor de frecuencia anual
sera 3.750 dlares (37.500 x 0,1 = 3.750).
La expectativa de prdida anual proporciona un valor con el que la organizacin puede trabajar para
presupuestar cunto costar establecer controles o protecciones para prevenir este tipo de dao (en
este caso, 3.750 dlares o menos al ao) y brindar un nivel adecuado de proteccin. Es importante
cuantificar la posibilidad real de un riesgo y el dao, en trminos monetarios, que puede causar la
amenaza para determinar la cantidad que se puede destinar en la proteccin contra la posible
consecuencia de la amenaza.
Determinacin del costo de los controles
Determinar el costo de los controles requiere estimaciones precisas de cunto costar adquirir,
probar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir
la compra o desarrollo de la solucin de control, la implementacin y configuracin de la solucin de
control, el mantenimiento de la misma, la notificacin de nuevas directivas o procedimientos
relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de
cmo utilizar y dar soporte al control, supervisarlo y combatir la prdida de comodidad o
productividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio
dae el conjunto de servidores Web, la organizacin ficticia puede implementar un sistema de
extincin de incendios automatizado. Ser necesario contratar a un contratista para que disee e
instale el sistema y, despus, se tiene que supervisar continuamente. Tambin ser necesario
comprobar el sistema peridicamente y, en ocasiones, recargarlo con los retardantes qumicos que
utilice.
Rendimiento de la inversin en seguridad
Estime el costo de los controles mediante la siguiente ecuacin:
(expectativa de prdida anual antes del control) (expectativa de prdida anual despus del
control) (costo anual del control) = rendimiento de la inversin en seguridad
Por ejemplo, la expectativa de prdida anual de la amenaza de que un pirata informtico inutilice un
servidor Web es de 12.000 dlares y despus de implementar la proteccin sugerida se valora en
3.000 dlares. El costo anual del mantenimiento de la proteccin es de 650 dlares, por lo que el
rendimiento de la inversin en seguridad es de 8.350 dlares al ao, tal como se expresa en la
siguiente ecuacin: 12.000 - 3.000 - 650 = 8.350.
Resultados de los anlisis de riesgos cuantitativos
Los elementos de entrada de los anlisis de riesgos cuantitativos proporcionan objetivos y
resultados claramente definidos. Los siguientes elementos normalmente se derivan de los resultados
de los pasos anteriores:
Valores monetarios asignados de los activos
Una lista completa de amenazas importantes
La probabilidad de que cada amenaza ocurra
El potencial de prdida para la empresa, por amenaza, cada 12 meses
Protecciones, controles y acciones recomendados

Ha podido comprobar que todos estos clculos se basan en estimaciones subjetivas. Las cifras clave
que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos
actuariales bien definidos sino de las opiniones de los que realizan la evaluacin. El valor del activo,
la expectativa de prdida simple, la frecuencia anual y el costo de los controles son cifras que
incorporan los propios participantes (normalmente despus de mucho debate y compromiso).
Evaluacin de riesgos cualitativa

La diferencia entre la evaluacin de riesgos cualitativa y la cuantitativa estriba en que en la primera
no se intentan aplicar valores financieros puros a los activos, prdidas previstas y costo de
controles. En su lugar se calculan valores relativos. El anlisis de riesgos normalmente se lleva a
cabo mediante la combinacin de cuestionarios y talleres colaborativos que implican a personas de
varios grupos de la organizacin, como expertos en seguridad de informacin, responsables y
personal de tecnologa de la informacin, responsables y usuarios de activos de negocios y
directivos. Si se utilizan, los cuestionarios normalmente se distribuyen unos das, o unas semanas,
antes del primer taller. Los cuestionarios estn diseados para descubrir los activos y controles que
ya estn implementados, y la informacin recopilada puede resultar muy til durante los talleres
posteriores. En los talleres, los participantes identifican los activos y estiman sus valores relativos. A
continuacin, intentan determinar las amenazas a las que se enfrenta cada activo y los tipos de
vulnerabilidades que pueden aprovechar dichas amenazas en el futuro. Los expertos en seguridad
de informacin y los administradores del sistema normalmente proponen controles con el fin de
mitigar los riesgos para el grupo en consideracin y el costo aproximado de cada control.
Finalmente, los resultados se presentan a los directivos para que los tengan en cuenta durante un
anlisis de costo-beneficio.
Como se puede comprobar, el proceso bsico de las evaluaciones cualitativas es muy similar a lo
que sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las
comparaciones entre el valor de un activo y otro son relativas, y los participantes no dedican
demasiado tiempo en intentar calcular cifras financieras exactas para la valoracin de activos. Lo
mismo sucede en el clculo de las repercusiones posibles si se produce un riesgo y el costo de la
implementacin de controles.
Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras
exactas para el valor de activos, costo de control, etc., y el proceso exige menos personal. Los
proyectos de administracin de riesgos cualitativa normalmente empiezan a arrojar resultados
importantes al cabo de pocas semanas, mientras que en las organizaciones que optan por un
enfoque cuantitativo se aprecian pocas ventajas durante meses, y en ocasiones aos, de esfuerzos.
El inconveniente de un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos
de los responsables de la toma de decisiones, en concreto los que disponen de experiencia en
cuestiones financieras o contables, pueden no sentirse cmodos con los valores relativos
determinados durante un proyecto de evaluacin de riesgos cualitativa.
Comparacin de los dos enfoques

Los enfoques cualitativo y cuantitativo de la administracin de riesgos de seguridad tienen sus
ventajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones
adopten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeo tamao o con
recursos limitados normalmente encontrarn ms adecuado el enfoque cualitativo. En la siguiente
tabla se resumen las ventajas y los inconvenientes de cada enfoque:
Tabla 2.1: Ventajas e inconvenientes de cada enfoque de administracin de riesgos
Cuantitativo Cualitativo
Ventajas Se asignan prioridades a los Permite la visibilidad y la comprensin de la

riesgos segn las repercusiones clasificacin de riesgos.
financieras; se asignan prioridades Resulta ms fcil lograr el consenso.
de los activos segn los valores No es necesario cuantificar la frecuencia de
financieros. las amenazas.
Los resultados facilitan la No es necesario determinar los valores
administracin del riesgo por el financieros de los activos.
rendimiento de la inversin en Resulta ms fcil involucrar a personas que
Cuantitativo Cualitativo
seguridad. no sean expertas en seguridad o en

Los resultados se pueden informtica.
expresar en terminologa especfica
de administracin (por ejemplo, los
valores monetarios y la
probabilidad expresados como un
porcentaje especfico).
La precisin tiende a ser mayor
con el tiempo a medida que la
organizacin crea un registro de
historial de los datos mientras gana
experiencia.
Inconvenientes Los valores de repercusin No hay una distincin suficiente entre los
asignados a los riesgos se basan riesgos importantes.
en las opiniones subjetivas de los Resulta difcil invertir en la implementacin de
participantes. controles porque no existe una base para un
El proceso para lograr resultados anlisis de costo-beneficio.
crebles y el consenso es muy Los resultados dependen de la calidad del
lento. equipo de administracin de riesgos que los
Los clculos pueden ser hayan creado.
complejos y lentos.
Los resultados slo se presentan
en trminos monetarios y pueden
ser difciles de interpretar por parte
de personas sin conocimientos
tcnicos.
El proceso requiere experiencia,
por lo que los participantes no
pueden recibir cursos fcilmente
durante el mismo.
En el pasado, los enfoques cuantitativos parecan dominar la administracin de riesgos de
seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez ms especialistas
admiten que el seguimiento estricto de los procesos de administracin de riesgos cuantitativa da
lugar a proyectos difciles y de larga duracin que muestran pocas ventajas tangibles. Como se ver
en los captulos posteriores, el proceso de administracin de riesgos de seguridad de Microsoft
combina los mejores aspectos de ambas metodologas en un nico proyecto hbrido.
Proceso de administracin de riesgos de seguridad de Microsoft

El proceso de administracin de riesgos de seguridad de Microsoft es un enfoque hbrido que
combina los mejores elementos de los dos enfoques tradicionales. Como se ver en los captulos
siguientes, en esta gua se presenta un enfoque nico de la administracin de riesgos de seguridad
que es considerablemente ms rpido que un enfoque cuantitativo tradicional. Sin embargo,
proporciona resultados que son ms detallados y fcilmente justificables a los ejecutivos que un
enfoque cualitativo tpico. Mediante la combinacin de la simplicidad y la elegancia del enfoque
cualitativo con parte del rigor del enfoque cuantitativo, en esta gua se ofrece un proceso nico para
administrar los riesgos de seguridad que es eficaz y til. El objetivo del proceso es que los
participantes puedan comprender cada paso de la evaluacin. Este enfoque, considerablemente ms
simple que la administracin de riesgos cuantitativa tradicional, minimiza la oposicin a los
resultados de las fases de anlisis de riesgos y de apoyo a la toma de decisiones, lo que permite
que se logre el consenso ms rpidamente se mantenga en todo el proceso.
El proceso de administracin de riesgos de seguridad de Microsoft consta de cuatro fases. La
primera, la fase de evaluacin de riesgos, combina aspectos de las metodologas de evaluacin de
riesgos cuantitativa y cualitativa. Se utiliza un enfoque cualitativo para clasificar rpidamente toda
la lista de riesgos de seguridad. A continuacin, los riesgos ms graves identificados durante esta
clasificacin se examinan ms detenidamente mediante un enfoque cuantitativo. El resultado es una
lista relativamente corta de los riesgos ms importantes que se han examinado con detalle.
Esta lista breve se utiliza durante la siguiente fase, Apoyo a la toma de decisiones, en la que se
propone las soluciones de control posibles y se evalan las mejores, que posteriormente se
presentan al comit directivo de seguridad de la organizacin como recomendaciones para mitigar
los riesgos principales. Durante la tercera fase, Implementacin de controles, los responsables de
mitigacin implementan realmente las soluciones de control. La cuarta fase, Medicin de la
efectividad del programa, se utiliza para comprobar que los controles proporcionan el nivel de
proteccin previsto y para examinar los cambios en el entorno, como nuevas aplicaciones de
negocios o herramientas de ataque que puedan cambiar el perfil de riesgo de la organizacin.
Debido a que el proceso de administracin de riesgos de seguridad de Microsoft es continuo, el ciclo
vuelve a comenzar con cada nueva evaluacin de riesgos. La frecuencia con la que se repita el ciclo
vara de una organizacin a otra; muchas consideran que una vez al ao es suficiente siempre que
la organizacin supervise proactivamente las nuevas vulnerabilidades, amenazas y activos.
Figura 2.2 Fases del proceso de administracin de riesgos de seguridad de Microsoft

En la figura 2.2 se ilustran las cuatro fases del proceso de administracin de riesgos de seguridad de
Microsoft. En el captulo 3, "Informacin general acerca de la administracin de riesgos de
seguridad", se ofrece un examen exhaustivo del proceso. En los captulos posteriores se explican los
pasos y las tareas asociados a cada una de las cuatro fases.

Captulo 3: Informacin general acerca de la administracin de riesgos de
seguridad
Este captulo es el primero de la presente gua donde se ofrece un resumen completo del proceso de
administracin de riesgos de seguridad de Microsoft. Despus de esta informacin general, en el
captulo se tratan varios temas que ayudarn a los lectores a medida que implementen el proceso.
Estos temas proporcionan una base slida para un programa de administracin de riesgos de
seguridad con xito y son:
Distinguir la administracin de riesgos de la evaluacin de riesgos.
Notificar el riesgo de forma eficaz.
Evaluar la madurez de sus prcticas de administracin de riesgos actuales.
Definir funciones y responsabilidades.

Tambin es importante tener en cuenta que la administracin de riesgos constituye slo una parte
de un programa de gobernanza mayor para la directiva corporativa con el fin de supervisar la
empresa y tomar decisiones fundadas. Aunque los programas de gobernanza varan mucho, todos
ellos requieren un componente de administracin de riesgos de seguridad estructurado para asignar
prioridades y mitigar los riesgos de seguridad. Los conceptos del proceso de administracin de
riesgos de seguridad de Microsoft se pueden aplicar a cualquier programa de gobernanza para
definir y administrar los riesgos con un nivel aceptable.
En esta pgina
Las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft
Resumen
Las cuatro fases del proceso de administracin de riesgos de

seguridad de Microsoft
En el captulo 2, "Estudio de prcticas de administracin de seguridad", se ha presentado el proceso
de administracin de riesgos de seguridad de Microsoft y se ha definido la administracin de riesgos
como un proceso continuo con cuatro fases principales:
1. Evaluacin del riesgo: identificar y asignar prioridades a los riesgos para la empresa.
2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control segn un
proceso definido de anlisis de costo-beneficio.
3. Implementacin de controles: implementar y poner en funcionamiento las soluciones con el
fin de reducir el riesgo para la empresa.
4. Medicin de la efectividad del programa: analizar la efectividad del proceso de
administracin de riesgos y comprobar que los controles proporcionan el nivel de proteccin
previsto.
Este ciclo de administracin de riesgos en cuatro fases resume el proceso de administracin de
riesgos de seguridad de Microsoft y tambin se utiliza para organizar el contenido de esta gua.
Antes de definir las prcticas especficas del proceso de administracin de riesgos de seguridad de
Microsoft, es importante comprender el proceso de administracin de riesgos global y sus
componentes. Cada fase del ciclo consta de varios pasos detallados. En la siguiente lista se
describen los pasos para que comprenda la importancia de cada uno en la gua como un conjunto:
Fase de evaluacin de riesgos
Planear la recopilacin de datos: descripcin de las claves para el xito y orientacin de

preparacin.
Recopilar datos de riesgos: descripcin del proceso de recopilacin y anlisis de datos.
Asignar prioridades a riesgos: descripcin de los pasos normativos para calificar y cuantificar
los riesgos.
Fase de apoyo a la toma de decisiones
Definir los requisitos funcionales: definicin de los requisitos funcionales para mitigar los
riesgos.
Seleccionar las soluciones de control posibles: descripcin del enfoque para identificar las
soluciones de mitigacin.
Revisar la solucin: evaluacin de los controles propuestos segn los requisitos funcionales.
Estimar la reduccin del riesgo: intento de comprender la exposicin o probabilidad reducida
de riesgos.
Estimar el costo de la solucin: evaluacin de los costos directos e indirectos asociados a las

soluciones de mitigacin.
Seleccionar la estrategia de mitigacin: realizacin del anlisis de costo-beneficio para

identificar la solucin de mitigacin ms asequible.
Fase de implementacin de controles
Buscar un enfoque holstico: incorporacin de personas, procesos y tecnologa en la solucin de

mitigacin.
Organizar por defensa en profundidad: organizacin de las soluciones de mitigacin en la

empresa.
Fase de medicin de la efectividad del programa
Desarrollar el clculo de riesgos: comprensin de la posicin de riesgo y el progreso.

Medir la efectividad del programa: evaluacin del programa de administracin de riesgos para
determinar los aspectos que se deben mejorar.
En la siguiente figura se ilustra cada fase y los pasos asociados.
Figura 3.1 Proceso de administracin de riesgos de seguridad de Microsoft

Ver imagen a tamao completo
En los captulos posteriores de esta gua se describe, por orden, cada fase del proceso de
administracin de riesgos de seguridad de Microsoft. No obstante, hay una serie de cuestiones
preliminares que se deben tener en cuenta antes de comenzar la ejecucin de este proceso.
Nivel de esfuerzo
Si su organizacin tiene poca experiencia en la administracin de riesgos, puede resultar til
conocer los pasos del proceso de Microsoft que requieren ms esfuerzo por parte del equipo de
administracin de riesgos de seguridad. En la siguiente figura, basada en las actividades de
administracin realizadas en el departamento de TI de Microsoft, se muestran los grados relativos
de esfuerzo a lo largo del proceso. Esta perspectiva puede resultar til al describir el proceso global
y el compromiso de tiempo para las organizaciones que no tienen experiencia en la administracin
de riesgos. Los niveles relativos de esfuerzo tambin pueden resultar tiles como orientacin para
evitar dedicar demasiado tiempo a un punto del proceso global. Para resumir el nivel de esfuerzo a
lo largo del proceso, en la figura se muestra un nivel moderado de esfuerzo para recopilar datos, un
nivel menor para el anlisis de resumen seguido de niveles altos de esfuerzo para elaborar listas
detalladas de riesgos y llevar a cabo el proceso de apoyo a la toma de decisiones. Para obtener una
vista adicional de las tareas y el esfuerzo asociado, consulte el programa de proyecto de ejemplo de
la carpeta de herramientas, GARSHerramienta4-Programa de proyecto de ejemplo.xls. En el resto
de los captulos de esta gua se describen cada uno de los pasos mostrados a continuacin.
Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administracin de riesgos de

seguridad de Microsoft
Bases del proceso de administracin de riesgos de seguridad de

Microsoft
Antes de comenzar la administracin de riesgos de seguridad, es importante disponer de
conocimientos slidos de las bases, requisitos previos y tareas del proceso de administracin de
riesgos de seguridad de Microsoft, que son:
Distincin entre la administracin de riesgos y la evaluacin de riesgos.
Notificacin clara del riesgo.
Determinacin de la madurez de administracin de riesgos de la organizacin.
Definicin de las funciones y responsabilidades del proceso.
Administracin de riesgos y evaluacin de riesgos

Tal como se ha indicado en el captulo 2, los trminos administracin de riesgos y evaluacin de
riesgos no se pueden utilizar indistintamente. El proceso de administracin de riesgos de seguridad
de Microsoft define la administracin de riesgos como el proceso global para administrar el riesgo
hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos se define como el proceso
de identificar y asignar prioridades a los riesgos para la empresa. Segn se describe en el diagrama
anterior, la administracin de riesgos se compone de cuatro fases principales: evaluacin de riesgos,
apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad del
programa. La evaluacin de riesgos, en el contexto del proceso de administracin de riesgos de
seguridad de Microsoft, slo hace referencia a la fase de evaluacin de riesgos en el ciclo de
administracin de riesgos global.
Otra diferencia entre la administracin de riesgos y la evaluacin de riesgos la constituye la
frecuencia del inicio de cada proceso. La administracin de riesgos se define como un ciclo definido,
pero normalmente se vuelve a iniciar a intervalos peridicos para actualizar los datos de cada etapa
del proceso de administracin. El proceso de administracin de riesgos habitualmente corresponde
al ciclo contable fiscal de una organizacin para alinear las solicitudes presupuestarias de los
controles con los procesos de negocios normales. Un intervalo anual resulta muy habitual en el
proceso de administracin de riesgos para alinear las nuevas soluciones de control con los ciclos
presupuestarios anuales.
Aunque la evaluacin de riesgos es una fase necesaria y discreta del proceso de administracin de
riesgos, el grupo de seguridad de informacin puede llevar a cabo varias evaluaciones de riesgos
independientes de la fase de administracin de riesgos o ciclo presupuestario actual. El grupo de
seguridad de informacin puede iniciarlas en cualquier momento si se produce un cambio
posiblemente relacionado con la seguridad en la empresa, como la introduccin de nuevas prcticas
de negocios, o si se han detectado nuevas vulnerabilidades o cambios en la infraestructura. Estas
evaluaciones frecuentes se suelen denominar evaluaciones de riesgos ad hoc o evaluaciones de
riesgos de mbito limitado y se deben considerar complementarias al proceso de administracin de
riesgos formal. Las evaluaciones ad hoc normalmente se centran en un rea de riesgo en la
empresa y no requieren la misma cantidad de recursos que el proceso de administracin de riesgos
en su totalidad. En el apndice A, "Evaluaciones ad hoc", se describe este tipo de evaluaciones y se
ofrece una plantilla de ejemplo de una evaluacin de riesgos ad hoc.
Tabla 3.1: Administracin de riesgos y evaluacin de riesgos
Administracin de riesgos Evaluacin de riesgos
Objetivo Administrar los riesgos en la Identificar los riesgos y asignarles

empresa para lograr un nivel prioridades
aceptable
Ciclo Programa global a lo largo de las Fase nica del programa de

cuatro fases administracin de riesgos
Programa Continuo Segn se necesite
Alineacin Alineado con los ciclos N/A

presupuestarios
Notificacin del riesgo

Las distintas personas involucradas en el proceso de administracin de riesgos suelen definir el
trmino riesgo de un modo diferente. Para garantizar la coherencia en todas las etapas del ciclo de
administracin de riesgos, el proceso de administracin de riesgos de seguridad de Microsoft
requiere que todos los participantes comprendan y acepten una nica definicin del trmino riesgo.
Tal como se ha definido en el captulo 1, "Introduccin a la Gua de administracin de riesgos de
seguridad", riesgo es la probabilidad de que se produzca un ataque a la empresa. Esta definicin
requiere la inclusin de una declaracin de repercusiones y una prediccin de cundo se puede
producir la repercusin, es decir, la probabilidad de repercusiones. Cuando ambos elementos de
riesgo (probabilidad y ataque) estn incluidos en una declaracin de riesgo, en el proceso se
denomina declaracin de riesgo bien elaborada. Utilice el trmino para garantizar una comprensin
coherente de la naturaleza compuesta del riesgo. En el siguiente diagrama se describe el riesgo en
su nivel ms bsico.
Figura 3.3 Declaracin de riesgo bien elaborada

Resulta importante que todos los implicados en el proceso de administracin de riesgos comprendan
la complejidad de cada elemento de la definicin de riesgo. Slo un conocimiento exhaustivo del
riesgo permitir a la empresa poder emprender una accin especfica al afrontarlo. Por ejemplo, al
definir las repercusiones en la empresa se necesita informacin acerca del activo afectado, el tipo de
dao que se puede producir y el alcance del dao en el activo. A continuacin, para determinar la
probabilidad de que se produzca el ataque, se debe comprender el modo en que se puede producir
cada ataque y la manera en que el entorno de controles actual reducir la probabilidad del riesgo.
Segn los trminos definidos en el captulo 1, "Introduccin a la Gua de administracin de riesgos
de seguridad", la siguiente declaracin de riesgo proporciona orientacin al demostrar los elementos
de repercusin y la probabilidad de repercusin:
Riesgo es la probabilidad de que se aproveche una vulnerabilidad en el entorno actual, provocando
un nivel de prdida de confidencialidad, integridad o disponibilidad de un activo.
El proceso de administracin de riesgos de seguridad de Microsoft proporciona las herramientas
para comunicar y medir de forma coherente la probabilidad y el nivel de prdida de cada riesgo. En
los captulos de esta gua se recorre el proceso para establecer cada componente de la declaracin
de riesgo bien elaborada para identificar y asignar prioridades a los riesgos en la empresa. El
siguiente diagrama se basa en la declaracin de riesgo bsica descrita anteriormente para mostrar
las relaciones de cada elemento de riesgo.
Figura 3.4 Componentes de la declaracin de riesgo bien elaborada
Para facilitar la notificacin del alcance del ataque y el nivel de probabilidad en la declaracin de
riesgo, el proceso de administracin de riesgos de seguridad de Microsoft comienza la asignacin de
prioridades mediante el uso de trminos relativos como alto, moderado y bajo. Aunque esta
terminologa bsica simplifica la seleccin de los niveles de riesgo, no proporciona detalles
suficientes cuando se lleva a cabo un anlisis de costo-beneficio para seleccionar la opcin de
mitigacin ms eficaz. Para solventar este punto dbil del enfoque cualitativo bsico, el proceso
ofrece herramientas para generar una comparacin de riesgos de nivel detallado. El proceso
tambin incorpora atributos cuantitativos para contribuir al anlisis de costo-beneficio con el fin de
seleccionar controles.
Un error habitual de las disciplinas de administracin de riesgos consiste en que normalmente no
tienen en cuenta las definiciones cualitativas como riesgos altos, moderados o bajos para la
empresa. En el programa de administracin de riesgos de seguridad se identificarn numerosos
riesgos. Aunque el proceso de administracin de riesgos de seguridad de Microsoft proporciona
orientacin para aplicar de forma coherente las estimaciones de riesgos cualitativos y cuantificables,
corresponde al equipo de administracin de riesgos de seguridad definir el significado de cada valor
en trminos de negocio especficos. Por ejemplo, un riesgo alto para la empresa puede significar una
vulnerabilidad que se produzca en un ao, lo que conlleva la prdida de integridad de la propiedad
intelectual ms importante de la organizacin. El equipo de administracin de riesgos de seguridad
debe asignar las definiciones de cada elemento de la declaracin de riesgo bien elaborada. En el
siguiente captulo se ofrece orientacin normativa acerca de la definicin de los niveles de riesgo.
Debe servirle de ayuda para definir los niveles de riesgo para su empresa. El proceso simplemente
facilita la tarea, contribuyendo a lograr coherencia y visibilidad en todo el proceso.
Determinacin de la madurez de administracin de riesgos de la

organizacin
Antes de que una organizacin intente implementar el proceso de administracin de riesgos de
seguridad de Microsoft, es importante que examine su nivel de madurez en lo que se refiere a la
administracin de riesgos de seguridad. Para una organizacin que no disponga de directivas o
procesos formales para la administracin de riesgos ser excesivamente difcil poner en prctica
todos los aspectos del proceso a la vez. Incluso para las organizaciones con directivas y directrices
formales que siguen la mayora de los empleados, el proceso puede ser un poco abrumador. Por
estos motivos, es importante que realice una estimacin del nivel de madurez de su organizacin. Si
considera que su organizacin todava es relativamente inmadura, puede introducir el proceso en
etapas incrementales durante varios meses, tal vez mediante pruebas piloto en una sola unidad de
negocios hasta que el ciclo se haya realizado varias veces. Despus de demostrar la eficacia del
proceso de administracin de riesgos de seguridad de Microsoft mediante este programa piloto, el
equipo de administracin de riesgos de seguridad podra introducirlo lentamente en otras unidades
de negocios hasta que toda la organizacin lo utilizase.
Cmo determinar el nivel de madurez de su organizacin? Como parte de CobiT (Control
Objectives for Information and Related Technology, Objetivos de control para la informacin y
tecnologa relacionada), el instituto IT Governance Institute (ITGI) incorpora un modelo de madurez
de gobernanza de TI. Puede adquirir y consultar CobiT para obtener un mtodo detallado con el fin
de determinar el nivel de madurez de su organizacin. El proceso de administracin de riesgos de
seguridad de Microsoft resume los elementos empleados en CobiT y presenta un enfoque
simplificado que se basa en modelos desarrollados tambin por Microsoft Services. Las definiciones
de nivel de madurez presentadas aqu se basan en Information technology Code of practice for
information security management, tambin denominado ISO 17799, de la organizacin
International Standards Organization (ISO).
Puede estimar el nivel de madurez de su organizacin si lo compara con las definiciones presentadas
en la siguiente tabla.
Tabla 3.2: Niveles de madurez de la administracin de riesgos de seguridad
Nivel Estado Definicin
0 No existe La directiva (o el proceso) no est documentada y la organizacin,

anteriormente, no ha tomado conciencia del riesgo de negocios asociado a
esta administracin de riesgos. Por lo tanto, no ha habido comunicados al
respecto.
1 Ad hoc Es evidente que algunos miembros de la organizacin han llegado a la

conclusin de que la administracin de riesgos tiene valor. No obstante, los
esfuerzos de administracin de riesgos se han llevado a cabo de un modo ad
hoc. No hay directivas o procesos documentados y el proceso no se puede
repetir por completo. En general, los proyectos de administracin de riesgos
parecen caticos y sin coordinacin; los resultados no se han medido ni
auditado.
2 Repetible Hay una toma de conciencia de la administracin de riesgos en la

organizacin. El proceso de administracin de riesgos es repetible aunque
inmaduro. El proceso no est totalmente documentado; no obstante, las
actividades se realizan peridicamente y la organizacin est trabajando en
establecer un proceso de administracin de riesgos exhaustivo con la
participacin de los directivos. No hay cursos formales ni comunicados acerca
de la administracin de riesgos; la responsabilidad de la implementacin est
en manos de empleados individuales.
3 Proceso La organizacin ha tomado una decisin formal de adoptar la administracin

definido de riesgos incondicionalmente con el fin de llevar a cabo su programa de
seguridad de informacin. Se ha desarrollado un proceso de lnea de base en
el que se han definido los objetivos de forma clara con procesos
documentados para lograr y medir el xito. Adems, todo el personal dispone
de algunos cursos de administracin de riesgos rudimentaria. Finalmente, la
organizacin est implementando de forma activa sus procesos de
administracin de riesgos documentados.
4 Administrado Hay un conocimiento extendido de la administracin de riesgos en todos los

niveles de la organizacin. Los procedimientos de administracin de riesgos
existen, el proceso est bien definido, la comunicacin de la toma de
conciencia es muy amplia, hay disponibles cursos rigurosos y se han
implementado algunas formas iniciales de medicin para determinar la
efectividad. Se han dedicado recursos suficientes al programa de
Nivel Estado Definicin
administracin de riesgos, muchas partes de la organizacin disfrutan de sus

ventajas y el equipo de administracin de riesgos de seguridad puede mejorar
continuamente sus procesos y herramientas. Se utilizan herramientas de
tecnologa como ayuda para la administracin de riesgos, pero la mayora de
los procedimientos, si no todos, de evaluacin de riesgos, identificacin de
controles y anlisis de costo-beneficios son manuales.
5 Optimizado La organizacin ha dedicado recursos importantes a la administracin de

riesgos de seguridad y los miembros del personal miran al futuro intentando
determinar los problemas y soluciones que habr en los meses y aos
venideros. El proceso de administracin de riesgos se ha comprendido bien y
se ha automatizado considerablemente mediante el uso de herramientas
(desarrolladas internamente o adquiridas a proveedores de software
independientes). La causa principal de todos los problemas de seguridad se
ha identificado y se han adoptado medidas adecuadas para minimizar el
riesgo de repeticin. El personal dispone de cursos en distintos niveles de
experiencia.
Autoevaluacin del nivel de madurez de la administracin de riesgos

organizativos
En la siguiente lista de preguntas se ofrece una forma ms rigurosa de medir el nivel de madurez
organizativa. Las preguntas conllevan respuestas subjetivas, pero si se considera sinceramente cada
una de ellas se puede determinar el nivel de preparacin de la organizacin para la implementacin
del proceso de administracin de riesgos de seguridad de Microsoft. Punte su organizacin en una
escala de 0 a 5, guindose por las definiciones de nivel de madurez anteriores.
1. Las directivas y procedimientos de seguridad son claros, concisos, completos y estn bien
documentados.
2. Todos los cargos con responsabilidades que impliquen seguridad de informacin estn
articulados de forma clara y sus funciones y responsabilidades se conocen bien.
3. Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios
estn bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el
desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente
acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero slo
tiene el acceso mnimo que necesitan.
4. Existe un inventario preciso y actualizado de los activos de tecnologa de informacin (TI),
como hardware, software y repositorios de datos.
5. Se han implementado controles adecuados para proteger los datos de negocios frente al
acceso no autorizado por parte de intrusos o de personas de la organizacin.
6. Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y
boletines relativos a directivas y prcticas de seguridad de informacin.
7. El acceso fsico a la red de equipos y otros activos de tecnologa de informacin est
restringido mediante el uso de controles eficaces.
8. Se han incorporado nuevos sistemas informticos segn los estndares de seguridad
organizativa de un modo estandarizado mediante herramientas automatizadas como imgenes
de disco o secuencias de comandos de creacin.
9. Un sistema de administracin de revisiones eficaz puede ofrecer automticamente
actualizaciones de software de gran parte de los proveedores a la inmensa mayora de
sistemas informticos de la organizacin.
10. Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado
procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las
mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se
resuelven los problemas.
11. La organizacin dispone de un exhaustivo programa antivirus que incluye varios niveles de
defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a
los ataques de los virus.
12. Los procesos de creacin de usuarios estn bien documentados y, como mnimo, parcialmente
automatizados para que a los nuevos empleados, proveedores y socios se les pueda
proporcionar un nivel de acceso adecuado a los sistemas de informacin de la organizacin de
un modo oportuno. Estos procesos tambin deben admitir la deshabilitacin y eliminacin
puntuales de las cuentas de usuario que ya no se necesiten.
13. El acceso a los equipos y la red se controla mediante autenticacin y autorizacin de usuarios,
listas de control de acceso restrictivo a los datos y supervisin proactiva de las infracciones a
las directivas.
14. Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los
estndares de seguridad para la creacin de software y las pruebas de control de calidad del
cdigo.
15. La continuidad de negocios y los programas de continuidad de negocios estn definidos de
forma clara, bien documentados y se han probado peridicamente mediante simulaciones y
pruebas.
16. Se han iniciado programas y estn en vigor para garantizar que todo el personal desempea
sus tareas conforme a los requisitos legales.
17. Se utilizan peridicamente revisiones y auditoras de terceros para garantizar el cumplimiento
con las prcticas estndar para activos de negocios de seguridad.
Calcule la puntuacin de su organizacin sumando los puntos de todos los elementos anteriores. En
teora, las puntuaciones van de 0 a 85; no obstante, muy pocas organizaciones se aproximan a un
extremo o a otro.
Una puntuacin de 51 o superior sugiere que la organizacin est bien preparada para introducir y
utilizar el proceso de administracin de riesgos de seguridad de Microsoft en todo su alcance. Una
puntuacin de 34 a 50 indica que la organizacin ha adoptado muchas medidas importantes para
controlar los riesgos de seguridad y est preparada para introducir el proceso gradualmente. Las
organizaciones que se encuentren en este intervalo deben considerar la posibilidad de implementar
el proceso en unas pocas unidades de negocios durante unos cuantos meses antes de exponer toda
la organizacin al proceso. Las organizaciones con una puntuacin inferior a 34 deben considerar la
posibilidad de iniciar muy lentamente el proceso de administracin de riesgos de seguridad de
Microsoft mediante la creacin del equipo de administracin de riesgos de seguridad bsico y la
aplicacin del proceso a una sola unidad de negocios durante los primeros meses. Despus de que
dichas organizaciones comprueben el valor del proceso mediante su uso para reducir riesgos
satisfactoriamente para dicha unidad de negocios, deben ampliarlo a dos o tres unidades adicionales
segn sea posible. Aunque el avance debe ser lento, ya que los cambios que introduce el proceso
pueden ser importantes. No es recomendable alterar la organizacin de un modo tal que se
interfiera en su capacidad de alcanzar de forma eficaz sus objetivos. Aplique su criterio en este
sentido (cada sistema que queda sin proteger es un riesgo de seguridad y responsabilidad
potencial) y su conocimiento de sus sistemas es la mejor herramienta que puede utilizar en este
sentido. Si considera que es urgente avanzar rpidamente y no tener en cuenta la sugerencia de
hacerlo lentamente, hgalo.
Debe considerar detenidamente las unidades de negocios que se utilizarn en los programas piloto.
Las preguntas que debe tener en cuenta se relacionan con la importancia que representa la
seguridad para dicha unidad de negocios, donde la seguridad est definida en trminos de
disponibilidad, integridad y confidencialidad de informacin y servicios. Algunos ejemplos son:
El nivel de madurez de administracin de riesgos de seguridad de dicha unidad de negocios est
por encima de la media en comparacin con la organizacin?

El responsable de la unidad de negocios ofrecer apoyo activo al programa?
Dispone la unidad de negocios de un alto nivel de visibilidad dentro de la empresa?

Se notificar el valor del programa piloto del proceso de administracin de riesgos de seguridad
de Microsoft al resto de la organizacin si tiene xito?

Debe tener en cuenta las mismas preguntas al seleccionar las unidades de negocios para ampliar el
programa.
Nota: el instituto National Institute for Standards and Technology (NIST) de EE.UU. proporciona
otro ejemplo de autoevaluacin de TI que puede resultar til para determinar el nivel de madurez;
consulte http://csrc.nist.gov/, publicacin especial 800-26.
Definicin de funciones y responsabilidades

El establecimiento de funciones y responsabilidades claras es un factor de xito fundamental para
cualquier programa de administracin de riesgos debido al requisito de interaccin entre grupos y
de responsabilidades separadas. En la siguiente tabla se describen las funciones y responsabilidades
principales empleadas en el proceso de administracin de riesgos de seguridad de Microsoft:
Tabla 3.3: Funciones y responsabilidades principales del proceso de administracin de
riesgos de seguridad de Microsoft
Ttulo Responsabilidad principal
Patrocinador ejecutivo Patrocina todas las actividades asociadas a la administracin de

riesgos para la empresa; por ejemplo, desarrollo, asignacin de
fondos, autoridad y apoyo al equipo de administracin de
riesgos de seguridad. Esta funcin normalmente la lleva a cabo
un ejecutivo, como responsables de la seguridad o
responsables de la informacin. Esta funcin tambin sirve de
ltimo punto de traspaso para definir el riesgo aceptable para
la empresa.
Responsable de negocios Se encarga de los activos tangibles e intangibles de la

empresa. Los responsables de negocios tambin se encargan
de la asignacin de prioridades a los activos de negocios y de la
definicin de los niveles de repercusin en los activos. Los
responsables de negocios normalmente se encargan de la
definicin de los niveles de riesgo; no obstante, el patrocinador
ejecutivo toma la decisin final de incorporar comentarios del
grupo de seguridad de informacin.
Grupo de seguridad de informacin Se encarga del proceso de administracin de riesgos global,

Ttulo Responsabilidad principal
incluidas las fases de evaluacin de riesgos y de medicin de la

efectividad del programa. Tambin define los requisitos de
seguridad funcionales y mide los controles de TI y la
efectividad global del programa de administracin de riesgos de
seguridad.
Grupo de tecnologa de la Incluye arquitectura, ingeniera y operaciones de TI.

informacin
Equipo de administracin de riesgos Es responsable de dirigir el programa de administracin de

de seguridad riesgos global. Tambin es responsable de la fase de evaluacin
de riesgos y de asignar prioridades a los riesgos para la
empresa. Como mnimo, el equipo consta de un responsable de
evaluacin y de un responsable de registro.
Responsable de evaluacin de Como funcin principal del equipo de administracin de riesgos

riesgos de seguridad, dirige los debates de recopilacin de datos. Esta
funcin tambin puede dirigir todo el proceso de administracin
de riesgos.
Responsable de registro de Registra la informacin de riesgos detallada durante los

evaluacin de riesgos debates de recopilacin de datos.
Responsables de mitigacin Se encargan de implementar y sustentar las soluciones de

control para administrar el riesgo con un nivel aceptable.
Incluye al grupo de TI y, en algunos casos, a los responsables
de negocios.
Comit directivo de seguridad Consta del equipo de administracin de riesgos de seguridad,

representantes del grupo de TI y responsables de negocios
especficos. El patrocinador ejecutivo normalmente dirige este
comit. Es responsable de seleccionar las estrategias de
mitigacin y de definir el riesgo aceptable para la empresa.
Participante Trmino general que hace referencia a los participantes

directos e indirectos en un determinado proceso o programa;
se utiliza en todo el proceso de administracin de riesgos de
seguridad de Microsoft. Los participantes tambin pueden ser
grupos ajenos a TI, por ejemplo, finanzas, relaciones pblicas y
recursos humanos.
El equipo de administracin de riesgos de seguridad encontrar participantes que intervengan por
primera vez en el proceso de administracin de riesgos que no comprendan por completo sus
funciones. Aproveche siempre la oportunidad para proporcionar un resumen del proceso y de sus
participantes. El objetivo es lograr el consenso y destacar el hecho de que cada participante tiene su
responsabilidad en la administracin de riesgos. El siguiente diagrama, donde se resumen los
participantes clave y se muestran sus relaciones de alto nivel, puede resultar til para comunicar las
funciones y responsabilidades definidas anteriores y debe ofrecer un resumen del proceso de
administracin de riesgos.
Para resumir, el patrocinador ejecutivo es el ltimo responsable de definir el riesgo aceptable y
proporciona orientacin al equipo de administracin de riesgos de seguridad en cuanto a la
clasificacin de riesgos para la empresa. El equipo de administracin de riesgos de seguridad es
responsable de evaluar el riesgo y de definir los requisitos funcionales para mitigar el riesgo a un
nivel aceptable. Posteriormente, el equipo de administracin de riesgos de seguridad colabora con
los grupos de TI que se encargan de la seleccin, la implementacin y las operaciones de
mitigacin. La relacin final definida a continuacin es el control del equipo de administracin de
riesgos de seguridad de la medicin de la efectividad del control. Normalmente se realiza mediante
informes de auditora, que tambin se notifican al patrocinador ejecutivo.
Figura 3.5 Resumen de las funciones y responsabilidades empleadas en el proceso de

administracin de riesgos de seguridad de Microsoft
Creacin del equipo de administracin de riesgos de seguridad

Antes de iniciar el proceso de evaluacin de riesgos, no pase por alto la necesidad de definir de
forma clara las funciones en el equipo de administracin de riesgos de seguridad. Debido a que el
mbito de la administracin de riesgos incluye a toda la empresa, personas que no sean del grupo
de seguridad de informacin pueden solicitar formar parte del equipo. En este caso, describa
funciones claras para cada miembro y alinelas con las funciones y responsabilidades definidas en el
programa de administracin de riesgos global. Si se dedica tiempo en la definicin de funciones al
principio, se reduce la confusin y contribuye a la toma de decisiones durante el proceso. Todos los
miembros del equipo deben comprender que el grupo de seguridad de informacin se encarga del
proceso global. Es importante definir la responsabilidad porque el grupo de informacin de
seguridad es el nico que es un participante clave en todas las etapas del proceso, incluida la
elaboracin de informes ejecutivos.
Funciones y responsabilidades del equipo de administracin de riesgos de seguridad
Despus de establecer el equipo de administracin de riesgos de seguridad, es importante crear
funciones especficos y mantenerlas a lo largo de todo el proceso. Las funciones principales del
responsable de evaluacin de riesgos y del responsable de registro de evaluacin de riesgos se
describen a continuacin.
El responsable de evaluacin de riesgos debe disponer de amplios conocimientos de todo el proceso
de administracin de riesgos y de la empresa, as como de los riesgos de seguridad tcnicos que
subyacen en las funciones de negocios. Debe poder traducir los escenarios de negocios en riesgos
tcnicos mientras se llevan a cabo los debates acerca de los riesgos. Como ejemplo, el responsable
de evaluacin de riesgos tiene que conocer las amenazas tcnicas y las vulnerabilidades de los
empleados mviles, as como el valor de negocio de dichos empleados. Por ejemplo, los pagos de
cliente no se procesarn si un empleado mvil no puede tener acceso a la red corporativa. El
responsable de evaluacin de riesgos debe comprender escenarios de este tipo y poder identificar
los riesgos tcnicos y los posibles requisitos de control, como los de configuracin y autenticacin de
dispositivos mviles. Si es posible, seleccione a un responsable de evaluacin de riesgos que haya
llevado a cabo evaluaciones de riesgos con anterioridad y que comprenda las prioridades globales
de la empresa.
Si no se puede disponer de un responsable con experiencia en evaluacin de riesgos, solicite la
ayuda de un socio o consultor cualificado. No obstante, asegrese de incluir un miembro del grupo
de seguridad de informacin que conozca la empresa y a los participantes implicados.
Nota: la subcontratacin de la funcin de responsable de evaluacin de riesgos puede ser atractiva,
pero tenga en cuenta que se perdern los conocimientos de las relaciones de los participantes, de la
empresa y de la seguridad cuando se marchen los consultores. No infravalore el valor que un
proceso de administracin de riesgos aporta a los participantes as como al grupo de seguridad de
informacin.
El responsable de registro de evaluacin de riesgos es el encargado de tomar notas y documentar
las actividades de planeamiento y recopilacin de datos. Esta responsabilidad puede parecer
demasiado informal para la definicin de funciones en esta etapa; no obstante, la habilidad para
tomar notas repercute en los procesos de asignacin de prioridades y de apoyo a la toma de
decisiones ms adelante en el proceso. Uno de los aspectos ms importantes de la administracin
de riesgos es comunicarlos de modo que los participantes los entiendan y puedan aplicarlos a sus
actividades de negocios. Un responsable de registro eficaz facilita este proceso ya que proporciona
documentacin por escrito cuando es necesario.
Resumen
En los captulos 1 a 3 se proporciona informacin general acerca de la administracin de riesgos y
se definen los objetivos y el enfoque para comenzar a sentar las bases para una implementacin
satisfactoria del proceso de administracin de riesgos de seguridad de Microsoft. En el siguiente
captulo se trata en detalle la primera fase, la evaluacin del riesgo. En los captulos posteriores se
trata cada una de las fases del proceso de administracin de riesgos: apoyo a la toma de decisiones,
implementacin de controles y medicin de la efectividad del programa.

Descripcin general
El proceso de administracin de riesgos global consta de cuatro fases principales: evaluacin de
riesgos, apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad
del programa. El proceso de administracin de riesgos ilustra el modo en que un programa formal
proporciona un mtodo coherente de organizacin de recursos limitados para afrontar los riesgos en
una organizacin. Las ventajas se aprecian mediante el desarrollo de un entorno de control
asequible que afronte y mida el riesgo a un nivel aceptable.
La fase de evaluacin de riesgos representa un proceso formal para identificar y asignar prioridades
a los riesgos en la organizacin. El proceso de administracin de riesgos de seguridad de Microsoft
proporciona indicaciones detalladas acerca de cmo realizar las evaluaciones de riesgos y divide el
proceso de la fase de evaluacin de riesgos en los tres pasos siguientes:
1. Planeamiento: establecer las bases para una evaluacin de riesgos correcta.
2. Recopilacin de datos facilitados: recopilar informacin de riesgos mediante los debates
sobre riesgos facilitados.
3. Asignacin de prioridades a riesgos: clasificar los riesgos identificados en un proceso
coherente y repetible.
El resultado de la fase de evaluacin de riesgos es una lista de prioridades de los riesgos que
proporciona la informacin para la fase de apoyo a la toma de decisiones, que se trata en detalle en
el captulo 5, "Apoyo a la toma de decisiones".
En el siguiente diagrama se proporciona un resumen del proceso de administracin de riesgos global
y se muestra la funcin de la evaluacin de riesgos en el conjunto del programa. Tambin se
destacan los tres pasos de la fase de evaluacin de riesgos.
Figura 4.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de evaluacin

de riesgos
En esta seccin se proporciona un breve resumen de los tres pasos de la fase de evaluacin de
riesgos, la recopilacin de datos facilitados y asignacin de prioridades de riesgos. A continuacin,
se incluyen secciones con tareas especficas para llevar a cabo una evaluacin de riesgos real en su
entorno.
Planeamiento
El planeamiento correcto de la evaluacin de riesgos es fundamental para el xito de todo el
programa de administracin de riesgos. Si no se llevan a cabo adecuadamente las tareas de
alineacin, definicin de mbito y obtencin de aceptacin de la fase de evaluacin de riesgos, se
reduce la eficacia de las dems fases del programa global. La elaboracin de las evaluaciones de
riesgos puede ser un proceso complicado que requiere una inversin importante para llevarlo a
cabo. En la siguiente seccin de este captulo se tratan las tareas y las indicaciones fundamentales
para el paso de planeamiento.
Recopilacin de datos facilitados
Despus del planeamiento, el siguiente paso consiste en recopilar la informacin relacionada con
riesgos de los participantes de toda la organizacin; esta informacin tambin se utilizar en la fase
de apoyo a la toma de decisiones. Los elementos de datos principales recopilados durante el paso
de recopilacin de datos facilitados son:
Activos organizativos: cualquier elemento que represente un valor para la empresa.

Descripcin de los activos: breve explicacin de cada activo, su valor y responsabilidad para
facilitar la comprensin comn en la fase de evaluacin de riesgos.

Amenazas de seguridad: causas o sucesos que pueden afectar negativamente a un activo,
representados por su prdida de confidencialidad, integridad o disponibilidad.

Vulnerabilidades: puntos dbiles o ausencia de controles que se pueden aprovechar para atacar
un activo.
Entorno de controles actual: descripcin de los controles actuales y su eficacia en la
organizacin.
Controles propuestos: ideas iniciales para reducir el riesgo.
El paso de recopilacin de datos facilitados representa el grueso de la colaboracin e interaccin
entre grupos durante la fase de evaluacin de riesgos. En la tercera seccin de este captulo se
tratan las tareas y las indicaciones de recopilacin de datos en detalle.
Asignacin de prioridades a riesgos

Durante el paso de recopilacin de datos facilitados, el equipo de administracin de riesgos de
seguridad comienza por la clasificacin de grandes cantidades de informacin recopiladas para
asignar prioridades a los riesgos. El paso de asignacin de prioridades a riesgos es el primero de la
fase que implica un elemento de subjetividad. La asignacin de prioridades es subjetiva porque,
despus de todo, el proceso implica esencialmente la prediccin del futuro. Debido a que el
resultado de la evaluacin de riesgos conduce a las inversiones en tecnologa de la informacin (TI),
el establecimiento de un proceso transparente con funciones y responsabilidades definidas resulta
crucial para obtener la aceptacin de los resultados y motivar que se emprendan acciones para
mitigar los riesgos. El proceso de administracin de riesgos de seguridad de Microsoft proporciona
orientacin para identificar y asignar prioridades a los riesgos de un modo coherente y repetitivo.
Un enfoque abierto y repetitivo ayuda al equipo de administracin de riesgos de seguridad a lograr
el consenso rpidamente, lo que reduce los posibles retardos provocados por la naturaleza subjetiva
de la asignacin de prioridades a los riesgos. En la cuarta seccin de este captulo se tratan las
tareas y las indicaciones de asignacin de prioridades en detalle.
Informacin necesaria para la fase de evaluacin de riesgos

Cada paso de la fase de evaluacin de riesgos contiene una lista especfica de tareas normativas y la
informacin asociada. La fase en s misma requiere una base slida a diferencia de informaciones
especficas. Tal como se ha descrito en el captulo 1, la fase de evaluacin de riesgos requiere
liderazgo de seguridad materializado en apoyo ejecutivo, aceptacin de los participantes y funciones
y responsabilidades definidas. En las siguientes secciones se tratan estas reas en detalle.
Participantes en la fase de evaluacin de riesgos

La evaluacin de riesgos requiere interaccin entre los grupos y que los distintos participantes sean
responsables de tareas a lo largo de proceso. Una prctica recomendada para reducir la confusin
de funciones en el proceso consiste en notificar las comprobaciones y los balances incorporados en
las funciones y responsabilidades de administracin. Mientras se est efectuando la evaluacin,
comunique las funciones que desempean los participantes y asegreles que el equipo de
administracin de riesgos de seguridad respeta dichos lmites. En la siguiente tabla se resumen las
funciones y las responsabilidades principales de los participantes en esta fase del proceso de
Tabla 4.1: Funciones y responsabilidades en el programa de administracin de riesgos
Funcin Responsabilidad
Responsable de negocios Determina el valor de los activos de negocios.
Grupo de seguridad de informacin Determina la probabilidad de repercusin en los

activos de negocio.
Tecnologa de la informacin: ingeniera Disea las soluciones tcnicas y estima los costos
de ingeniera.
Tecnologa de la informacin: operaciones Disea los componentes operativos de la solucin y

estima los costos operativos.
Las comprobaciones tcticas y los balances incorporados surgirn durante las siguientes secciones
donde se examinan detenidamente los pasos de planeamiento, recopilacin de datos facilitados y
asignacin de prioridades a los riesgos de la fase de evaluacin de riesgos.
Herramientas proporcionadas para la fase de evaluacin de riesgos

Durante este proceso de evaluacin de riesgos se recopilarn datos acerca de los riesgos y,
posteriormente, se utilizarn para asignar prioridades a los riesgos. Como ayuda para esta fase se
incluyen tres herramientas. Las encontrar en la carpeta Herramientas y plantillas creada al
desempaquetar el archivo de almacenamiento que contiene esta gua y sus archivos relacionados.
Plantilla de recopilacin de datos (GARSHerramienta1-Herramienta de recopilacin de
datos.doc). Plantilla para facilitar los debates con el fin de recopilar datos de riesgos.
Lista de valores de activos (SRAPPB.doc). Lista de algunos activos que normalmente se
encuentran en las organizaciones.

Plantillas de asignacin de prioridades a los riesgos (GARSHerramienta2-Nivel de riesgo de
resumen.xls y GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls).

Plantillas de Microsoft Excel para facilitar la asignacin de prioridades a los riesgos.
Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Este
programa puede ayudarle a planear las actividades de esta fase.
Resultado necesario para la fase de evaluacin de riesgos

El resultado de la fase de evaluacin de riesgos es una lista con prioridades de los riesgos, incluida
la clasificacin cualitativa y las estimaciones cuantitativas empleadas en la fase de apoyo a la toma
de decisiones que se describe en el siguiente captulo.
Planeamiento
El paso de planeamiento es, indiscutiblemente, el ms importante para garantizar la aceptacin y el
apoyo de los participantes a lo largo del proceso de evaluacin de riesgos. La aceptacin de los
participantes es crucial porque el equipo de administracin de riesgos de seguridad requiere una
intervencin activa del resto de los participantes. El apoyo tambin es fundamental porque los
resultados de la evaluacin pueden influir en las actividades de creacin de presupuestos de los
participantes si se precisan nuevos controles para reducir el riesgo. Las tareas principales del paso
de planeamiento estn enfocadas a alinear correctamente la fase de evaluacin con los procesos de
negocios, definir el mbito de la evaluacin de forma precisa y obtener la aceptacin de los
participantes. En la siguiente seccin se examinan estas tres tareas ms detalladamente y trata los
factores de xito relacionados con dichas tareas.
Alineacin
Resulta idneo comenzar la fase de evaluacin de riesgos antes del proceso de creacin de
presupuestos de la organizacin. La alineacin facilita el apoyo ejecutivo y aumenta la visibilidad en
la organizacin y los grupos de TI mientras desarrollan presupuestos para el siguiente ejercicio
fiscal. Unos plazos correctos tambin ayudan a generar consenso durante la evaluacin porque
permite que los participantes desempeen funciones activas en el proceso de planeamiento. El
grupo de seguridad de informacin normalmente se considera como un equipo reactivo que
interrumpa la actividad de la organizacin y sorprenda a las unidades de negocio con nuevos errores
de control o interrupciones de trabajo. Unos plazos razonables de la evaluacin resultan cruciales
para generar apoyo y ayudar a la organizacin a comprender que la seguridad es responsabilidad de
todos y que es inherente a la organizacin. Otra ventaja de efectuar una evaluacin de riesgos
radica en demostrar que el grupo de seguridad de informacin se puede considerar un socio
proactivo en vez de un mero ejecutor de directivas durante las emergencias. En esta gua se
proporciona un calendario de proyecto de ejemplo como ayuda para alinear el proceso de evaluacin
de riesgos para su organizacin. Evidentemente, el equipo de administracin de riesgos de
seguridad no debe retener la informacin de riesgo mientras se espera el ciclo de creacin de
presupuestos. La alineacin del calendario de la evaluacin simplemente es una prctica
recomendada aprendida de las evaluaciones efectuadas en el departamento de TI de Microsoft.
Nota: la correcta alineacin del proceso de administracin de riesgos con el ciclo de planeamiento
presupuestario tambin puede beneficiar a las actividades de auditora interna o externa; no
obstante, la coordinacin y la definicin del mbito de las actividades de auditora quedan fuera del
mbito de esta gua.
Definicin del mbito

Durante las actividades de planeamiento, articule de forma clara el mbito de la evaluacin de
riesgos. Para administrar el riesgo de forma eficaz en la organizacin, el mbito de la evaluacin de
riesgos debe documentar todas las funciones de la organizacin incluidas en la evaluacin de
riesgos. Si el tamao de su organizacin no permite una evaluacin de riesgos en toda la empresa,
articule de forma clara las partes de la organizacin que estn dentro del mbito y defina los
participantes asociados. Tal como se ha descrito en el captulo 2, si su organizacin no tiene
experiencia en los programas de administracin de riesgos, puede comenzar a practicar el proceso
de evaluacin de riesgos con unidades de negocios de las que se tenga un buen conocimiento. Por
ejemplo, seleccionar una aplicacin de recursos humanos especfica o un servicio de TI, como el
acceso remoto, puede contribuir a demostrar el valor del proceso y facilitar la creacin del impulso
para una evaluacin de riesgos en toda la organizacin.
Nota: las organizaciones normalmente no definen de forma precisa el mbito de una evaluacin de
riesgos. Defina de forma clara las reas de la organizacin que se evaluarn y obtenga la
aprobacin ejecutiva antes de continuar. El mbito se debe tratar con frecuencia y comprenderse en
todas las reuniones de los participantes a lo largo del proceso.
En el paso de planeamiento tambin debe definir el mbito de la evaluacin de riesgos. En el sector
de la seguridad de la informacin se utiliza el trmino evaluacin de tantas formas que puede
confundir a los participantes sin conocimientos tcnicos. Por ejemplo, las evaluaciones de
vulnerabilidades se llevan a cabo para identificar la configuracin especfica de tecnologa o puntos
dbiles operativos. El trmino evaluacin de cumplimiento se puede utilizar para comunicar una
auditora o una medicin de los controles actuales segn la directiva formal. El proceso de
administracin de riesgos de seguridad de Microsoft define la evaluacin de riesgos como el proceso
para identificar y asignar prioridades a los riesgos de seguridad de TI para la organizacin. Puede
ajustar esta definicin segn resulte adecuado para su organizacin. Por ejemplo, algunos equipos
de administracin de riesgos de seguridad tambin pueden incluir la seguridad del personal en el
mbito de sus evaluaciones de riesgos.
Aceptacin de los participantes

La evaluacin de riesgos requiere una participacin activa de los participantes. Como prctica
recomendada, trabaje con los participantes de modo informal y al principio del proceso para
garantizar que comprenden la importancia de la evaluacin, sus funciones y el compromiso de
tiempo que se les ha solicitado. Cualquier responsable de evaluacin de riesgos puede indicarle que
hay diferencias entre la aprobacin del proyecto por parte de los participantes y la aceptacin de los
participantes del tiempo y la prioridad del proyecto. Una prctica recomendada para solicitar el
apoyo de los participantes es vender previamente el concepto y las actividades de la evaluacin de
riesgos. Esta venta previa puede incluir una reunin informal con los participantes antes de que
solicitar un compromiso formal. Haga hincapi en los motivos por los que una evaluacin proactiva
ayuda al participante a largo plazo mediante la identificacin de los controles que pueden evitar las
interrupciones derivadas de las incidencias de seguridad en el futuro. La inclusin de incidencias de
seguridad anteriores como ejemplos en el debate es un modo eficaz de recordar a los participantes
los posibles ataques a la organizacin.
Nota: para facilitar a los participantes la comprensin del proceso, prepare un breve resumen en el
que se indique la justificacin y el valor de la evaluacin. Comparta el resumen todo lo que pueda.
Sabr que ha sido eficaz cuando vea que los participantes se describen la evaluacin entre s. Este
resumen ejecutivo de la gua ofrece un buen punto de partida para comunicar el valor del proceso
de evaluacin de riesgos.
Preparacin para el xito: definicin de expectativas

En una definicin de expectativas correcta no se puede exagerar. La definicin de expectativas
razonables es fundamental si se desea que la evaluacin de riesgos tenga xito, ya que el proceso
requiere aportaciones importantes de los distintos grupos que posiblemente representen toda la
organizacin. Adems, los participantes tienen que estar de acuerdo y comprender los factores de
xito de su funcin y del proceso en su conjunto. Si alguno de estos grupos no comprende o
participa activamente, la eficacia de todo el programa puede estar en peligro.
Mientras logra el consenso durante el paso de planeamiento, defina las expectativas de las
funciones, las responsabilidades y los niveles de participacin solicitados de los dems participantes.
Tambin debe compartir los retos que entraa la evaluacin. Por ejemplo, describa de forma clara
los procesos de la identificacin y asignacin de prioridades a los riesgos para evitar posibles
malentendidos.
Aceptacin de la subjetividad
Los responsables de negocios a veces se ponen nerviosos cuando un grupo externo (en este caso, el
grupo de seguridad de informacin) predice posibles riesgos de seguridad que puedan afectar a las
prioridades fiscales. Puede reducir esta tensin natural si define expectativas para los objetivos del
proceso de evaluacin de riesgos y para garantizar a los participantes que las funciones y
responsabilidades se respetarn a lo largo del proceso. En concreto, el grupo de seguridad de
informacin debe aceptar que los responsables de negocios definan el valor de los activos de
negocios. Esto tambin significa que los participantes deben confiar en la experiencia del grupo de
seguridad de informacin para estimar el riesgo de las amenazas que afectan a la organizacin. La
prediccin del futuro es subjetiva por naturaleza. Los responsables de negocios deben reconocer y
apoyar el hecho de que el grupo de seguridad de informacin utilizar su experiencia para estimar
las probabilidades de los riesgos. Destaque estas relaciones y exponga las credenciales, experiencia
y objetivos compartidos del grupo de seguridad de informacin y los responsables de negocios.
Despus de llevar a cabo el paso de planeamiento, articular las funciones y las responsabilidades y
definir correctamente las expectativas, estar preparado para comenzar las acciones de trabajo del
proceso de evaluacin de riesgos: recopilacin de datos facilitados y asignacin de prioridades a los
riesgos. En las dos secciones siguientes se explican detalladamente estos pasos antes de pasar al
captulo 5 para describir la fase de apoyo a la toma de decisiones.
Recopilacin de datos facilitados

En la seccin de informacin general de este captulo se proporciona una introduccin al proceso de
evaluacin de riesgos, donde se tratan los tres pasos principales: planeamiento, recopilacin de
datos facilitados y asignacin de prioridades a los riesgos. Tras terminar las actividades de
planeamiento, se recopilan los datos de riesgo de los participantes de la organizacin. Esta
informacin se utiliza para identificar y, finalmente, asignar prioridades a los riesgos.
Esta seccin est organizada en tres partes. En la primera se describe detalladamente el proceso de
recopilacin de datos y se centra en los factores de xito al recopilar la informacin de riesgos. En la
segunda parte se explican los pasos detallados de la recopilacin de datos de riesgos mediante las
reuniones facilitadas con los participantes con conocimientos tcnicos y sin dichos conocimientos. En
la tercera parte se describen los pasos para consolidar esta compilacin de datos en un conjunto de
declaraciones de repercusiones, segn lo descrito en el captulo 3. Para concluir el proceso de
evaluacin de riesgos, esta lista de declaraciones de repercusiones proporciona la informacin para
el proceso de asignacin de prioridades que se explica detalladamente en la siguiente seccin.
Claves para el xito de la recopilacin de datos

Puede cuestionar la ventaja de realizar preguntas detalladas de seguridad acerca de los riesgos
relacionados con la tecnologa de la informacin a personas sin experiencia profesional. La
experiencia obtenida en las evaluaciones de riesgos que se han efectuado en el departamento de TI
de Microsoft demuestra que hay un increble valor en preguntar a los participantes con
conocimientos tcnicos y sin dichos conocimientos lo que piensan acerca de los riesgos para los
activos organizativos que administran. Los profesionales de seguridad de informacin tambin
deben conocer en detalle las preocupaciones de los participantes para traducir la informacin acerca
de sus entornos en riesgos con prioridades. Las reuniones colaborativas con los participantes les
ayudan a entender el riesgo en trminos que puedan comprender y valorar. Adems, los
participantes controlan o influyen en el gasto de TI. Si no comprenden las posibles repercusiones en
la organizacin, el proceso de asignacin de recursos es ms difcil. Los responsables de negocios
tambin dirigen la cultura de la empresa e influyen en el comportamiento de los usuarios. Esto solo
puede constituir una herramienta eficaz al administrar el riesgo.
Cuando se descubren los riesgos, el grupo de seguridad de informacin requiere el apoyo de los
participantes en cuanto a asignacin de recursos y el consenso en la definicin y asignacin de
prioridades a los riesgos. Algunos grupos de seguridad de informacin sin un programa de
administracin de riesgos proactivo pueden fundamentarse en el miedo para motivar a la
organizacin. En el mejor de los casos, es una estrategia a corto plazo. El grupo de seguridad de
informacin debe aprender a buscar el apoyo de la organizacin si se desea que el programa de
administracin de riesgos contine a lo largo del tiempo. El primer paso para generar este apoyo
son las reuniones cara a cara con los participantes.
Generacin de apoyo
Los responsables de negocios tienen funciones explcitas en el proceso de evaluacin de riesgos.
Son los responsables de identificar sus activos organizativos y de estimar los costos de las posibles
repercusiones en dichos activos. Si se formaliza esta responsabilidad, el grupo de seguridad de
informacin y los responsables de negocios comparten por igual el xito de la administracin de
riesgos. La mayora de los profesionales de seguridad de informacin y los participantes sin
conocimientos tcnicos no aprecian esta conexin automticamente. Como expertos en la
administracin de riesgos, los profesionales de seguridad de informacin deben tomar la iniciativa
para suplir los vacos de conocimientos durante los debates acerca de los riesgos. Tal como se ha
mencionado en el captulo anterior, la incorporacin de un patrocinador ejecutivo que comprenda la
organizacin facilita mucho el establecimiento de esta relacin.
Debate e interrogatorio
En muchos mtodos de administracin de riesgos de seguridad se requiere que el grupo de
seguridad de informacin haga preguntas explcitas a los participantes y catalogue sus respuestas.
Algunos ejemplos de estas preguntas son "puede describir sus directivas para garantizar una
segmentacin correcta de las responsabilidades?" y "cul es su proceso para revisar las directivas y
los procedimientos?". Tenga en cuenta el tono y el curso de la reunin. Es recomendable centrarse
en preguntas abiertas que faciliten los debates en los dos sentidos. Esto tambin permite que los
participantes comuniquen el verdadero espritu de las respuestas en vez de indicar simplemente al
responsable de evaluacin de riesgos lo que creen que desea or. El objetivo del debate acerca de
los riesgos es comprender la organizacin y sus riesgos de seguridad, no el llevar a cabo una
auditora de la directiva documentada. Aunque la aportacin de los participantes sin conocimientos
tcnicos es valiosa, normalmente no es exhaustiva. El equipo de administracin de riesgos de
seguridad, independientemente del responsable de negocios, necesita analizar, investigar y tener en
cuenta todos los riesgos para cada activo.
Generacin de buena voluntad
La seguridad de informacin es una funcin de negocios difcil ya que la reduccin de riesgos se
suele considerar como una reduccin de la capacidad de uso o de la productividad de los
empleados. Utilice los debates facilitados como herramienta para establecer una alianza con los
participantes. La legislacin, las preocupaciones de privacidad, la presin de la competencia y una
mayor toma de conciencia por parte de los consumidores han provocado que los ejecutivos y los
responsables de la toma de decisiones reconozcan que la seguridad es un componente de negocios
muy importante. Ayude a los participantes a comprender la importancia de administrar el riesgo y
sus funciones en el programa global. En ocasiones resulta ms productivo establecer relaciones
entre el grupo de seguridad de informacin y los participantes que los datos reales recopilados
durante la reunin. Es una pequea pero importante victoria en el esfuerzo global de la
Preparacin del debate acerca de los riesgos

Antes de que comiencen los debates acerca de los riesgos, el equipo de administracin de riesgos
de seguridad debe dedicar tiempo en investigar y comprender de forma clara cada elemento que se
tratar. La siguiente informacin cubre las prcticas recomendadas y precisa la definicin de cada
elemento de la declaracin de riesgo bien elaborada como preparacin para facilitar los debates con
los participantes.
Identificacin de la informacin de la evaluacin de riesgos

El equipo de evaluacin de riesgos debe prepararse exhaustivamente antes de reunirse con los
participantes. El equipo resulta ms eficaz y los debates son ms productivos cuando el equipo
dispone de conocimientos claros de la organizacin, su entorno tcnico y la actividad de evaluacin
del pasado. Utilice la siguiente lista como ayuda para recopilar el material que se utilizar como
informacin del proceso de evaluacin de riesgos:
Nuevas motivaciones de negocios: actualice sus conocimientos acerca de las prioridades de la
organizacin o los cambios que se hayan producido desde la ltima evaluacin. Preste una
atencin especial a las fusiones y adquisiciones.
Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores, las cuales ofrecen
perspectiva. Puede que el equipo de evaluacin de riesgos tenga que reconciliar la nueva
evaluacin con el trabajo anterior.
Auditoras: recopile los informes de auditora pertinentes al mbito de la evaluacin de riesgos.
Los resultados de auditora se deben tener en cuenta en la evaluacin y al seleccionar las nuevas
soluciones de control.
Incidencias de seguridad: utilice las incidencias anteriores para identificar los activos clave,
comprender el valor de los activos, identificar las vulnerabilidades predominantes y resaltar las
definiciones de control.
Sucesos del sector: identifique las nuevas tendencias en la organizacin y las influencias
externas. La normativa gubernamental, las leyes y la actividad internacional pueden afectar

considerablemente a la posicin de riesgo. La identificacin de nuevas tendencias puede requerir
investigacin y evaluacin considerables por parte de la organizacin. Puede resultar til dedicar
personal a la revisin durante el ao.
Boletines: revise los problemas de seguridad conocidos que se hayan identificado en el Web, en
grupos de noticias y directamente por parte de los proveedores.

Gua de informacin de seguridad: lleve a cabo investigaciones para determinar si hay
disponibles nuevas tendencias, herramientas o enfoques en la administracin de riesgos. Los

estndares del sector se pueden aprovechar para mejorar o justificar el proceso de evaluacin de
riesgos o bien para identificar las nuevas estrategias de control. Los estndares internacionales
tambin constituyen otra informacin clave.
En esta gua se incorporan conceptos de numerosos estndares, como el 17799 de la organizacin
International Standards Organization (ISO). La evaluacin y aplicacin meticulosas de los
estndares permiten utilizar el trabajo de otros profesionales y ofrecer credibilidad a los
participantes de la organizacin. Puede resultar til hacer referencia especfica a estndares durante
los debates acerca de los riesgos para garantizar que la evaluacin cubre todas las reas de
seguridad de informacin correspondientes.
Identificacin y clasificacin de activos

El mbito de la evaluacin de riesgos define las reas de la organizacin que se revisarn en los
debates de recopilacin de datos. Se deben identificar los activos de negocios que estn en este
mbito para llevar a cabo los debates acerca de los riesgos. Los activos se definen como cualquier
elemento que represente un valor para la organizacin. Esto incluye activos intangibles como la
reputacin de la empresa e informacin digital y activos tangibles como la infraestructura fsica. El
enfoque ms eficaz tiene que ser lo ms especfico posible al definir los activos de negocios, por
ejemplo, la informacin de cuentas en una aplicacin de administracin de clientes. No se deben
tratar las declaraciones de repercusiones cuando se estn definiendo los activos. Las declaraciones
de repercusiones definen la prdida o los daos posibles para la organizacin. Un ejemplo de una
declaracin de repercusiones puede ser la disponibilidad de los datos de cuentas en la aplicacin de
administracin de clientes. Las declaraciones de repercusiones se amplan posteriormente en el
debate acerca de los riesgos. Tenga en cuenta que cada activo puede tener definidas varias
repercusiones durante el debate.
Mientras identifica los activos, tambin identifique o confirme el responsable del activo.
Normalmente es ms difcil identificar a la persona o el grupo responsable de un activo de lo que
pueda parecer. Documente los responsables de activos especficos durante los debates de riesgos
facilitados. Esta informacin puede resultar til durante el proceso de asignacin de prioridades para
confirmar la informacin y comunicar los riesgos directamente a los responsables de activos.
Como ayuda para clasificar los activos, puede resultar til agruparlos en escenarios de negocios, por
ejemplo, transacciones bancarias en lnea o desarrollo de cdigo fuente. Al trabajar con
participantes sin conocimientos tcnicos, comience el debate acerca de los activos con escenarios de
negocios. A continuacin, documente activos especficos en cada escenario.
Una vez identificados los activos, la segunda responsabilidad del responsable de negocios consiste
en clasificar cada activo en lo que se refiere al efecto posible en la organizacin. La clasificacin de
activos es un componente crucial en la ecuacin de riesgo global. La siguiente seccin facilita este
proceso.
Activos
Los activos de negocios pueden ser tangibles o intangibles. Debe definir cada tipo de activo de
forma suficiente para que los responsables de negocios puedan estipular el valor del activo para la
organizacin. Ambas categoras de activos requieren que el participante proporcione estimaciones
en forma de prdida monetaria directa o repercusiones financieras indirectas.
Los activos tangibles incluyen la infraestructura, como centros de datos, servidores y propiedad. Los
activos intangibles incluyen datos u otra informacin digital que resulte valiosa para la organizacin,
por ejemplo, transacciones bancarias, clculos de intereses y planes y especificaciones de desarrollo
de productos.
Segn resulte adecuado para su organizacin, una tercera definicin de activo de servicio de TI
puede ser til. El servicio de TI es una combinacin de activos tangibles e intangibles. Por ejemplo,
un servicio de correo electrnico de TI corporativo contiene servidores fsicos y utiliza la red fsica;
sin embargo, el servicio puede contener datos digitales confidenciales. Tambin debe incluir el
servicio de TI como un activo ya que, por lo general, tiene distintos responsables de datos y activos
fsicos. Por ejemplo, el responsable del servicio de correo electrnico es el encargado de la
disponibilidad para tener acceso y enviar correo electrnico. No obstante, el servicio de correo
electrnico puede no ser responsable de la confidencialidad de los datos financieros del correo
electrnico o los controles fsicos que rodean a los servidores de correo electrnico. Otros ejemplos
de servicios de TI son: uso compartido de archivos, almacenamiento, redes, acceso remoto y
telefona.
Clases de activos
Los activos que se encuentren en el mbito de la evaluacin de riesgos se deben a una clase o
grupo cualitativo. Las clases facilitan la definicin de las repercusiones globales de los riesgos de
seguridad. Tambin ayudan a la organizacin a centrarse en primer lugar en los activos ms
cruciales. Los distintos modelos de evaluacin de riesgos definen una serie de clases de activos. El
proceso de administracin de riesgos de seguridad de Microsoft utiliza tres clases de activos que
facilitan la cuantificacin del valor del activo para la organizacin. Por qu slo tres clases? Estas
tres agrupaciones permiten una diferenciacin suficiente y reducir el tiempo de debate y seleccin
de la denominacin de clase adecuada.
El proceso de administracin de riesgos de seguridad de Microsoft define las tres clases de activos
cualitativos siguientes: alta repercusin en la empresa, repercusin moderada en la empresa y
repercusin baja en la empresa. Durante el paso de asignacin de prioridades a los riesgos, el
proceso tambin proporciona orientacin para cuantificar los activos. Segn resulte adecuado para
la organizacin, puede optar por cuantificar los activos durante los debates de riesgos facilitados. Si
lo hace, tenga en cuenta el tiempo necesario para lograr el consenso en la cuantificacin de los
valores monetarios durante el debate acerca de los riesgos. El proceso recomienda esperar hasta
que se hayan identificado todos los riesgos y posteriormente se les haya asignado prioridades para
reducir el nmero de riesgos que necesitan ms anlisis.
Nota: para obtener informacin adicional acerca de la definicin y clasificacin de la informacin y
los sistemas de informacin consulte los talleres de la publicacin especial 800-60 de National
Institute of Standards and Technology (NIST), "Mapping Types of Information and Information
Systems to Security Categories" y la publicacin 199 de Federal Information Processing Standards
(FIPS), "Security Categorization of Federal Information and Information Systems".
Repercusin alta en la empresa
Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan
prdidas graves o catastrficas para la organizacin. Las repercusiones se pueden expresar en
trminos financieros puros o pueden reflejar prdida indirecta o robo de instrumentos financieros,
productividad de la organizacin, daos a la reputacin o responsabilidad legal o normativa
importante. En la siguiente lista se ofrecen unos cuantos ejemplos de la clase de repercusin alta en
la empresa:
Credenciales de autenticacin: contraseas, claves de cifrado privadas y testigos (tokens) de
hardware.
Material de negocios muy confidencial: datos financieros y propiedad intelectual.
Activos sometidos a requisitos normativos especficos: GLBA, HIPAA, CA SB1386 y
directiva de proteccin de datos de UE.

Informacin de identificacin personal: informacin que permita a un pirata informtico
identificar a sus clientes o empleados, o bien conocer alguna caracterstica personal.

Datos de autorizacin de transacciones financieras: nmeros de tarjeta de crdito y fechas
de caducidad.
Perfiles financieros: informes de crdito de clientes o extractos de ingresos personales.
Perfiles mdicos: nmeros de registro mdico o identificadores biomtricos.

Para proteger la confidencialidad de los activos de esta clase, el acceso est restringido al uso
organizativo limitado sobre la base de "quien necesite saberlo". El nmero de personas con acceso a
estos datos lo debe administrar explcitamente el responsable del activo. Se debe prestar la misma
atencin a la integridad y la disponibilidad de los activos de esta clase.
Repercusin moderada en la empresa
Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan
prdidas moderadas para la organizacin. La prdida moderada no constituye una repercusin grave
o catastrfica, pero altera las funciones organizativas normales hasta el punto de que son
necesarios controles proactivos para minimizar las repercusiones en esta clase de activos.
La prdida moderada se puede expresar en trminos financieros puros o puede incluir prdida
indirecta o robo de instrumentos financieros, productividad de la empresa, daos a la reputacin o
responsabilidad legal o normativa importante. Estos activos estn pensados para que los utilicen
determinados grupos de empleados o personas ajenas a la empresa con una necesidad de negocios
legtima. A continuacin se ofrecen ejemplos de la clase de repercusin moderada en la empresa:
Informacin de negocios interna: directorio de empleados, datos de pedidos, diseos de
infraestructura de red, informacin acerca de sitios Web internos y datos en recursos compartidos
de archivos internos nicamente para uso de negocios interno.
Repercusin baja en la empresa
Los activos que no son de repercusin alta o de repercusin moderada tienen la clasificacin de
repercusin baja en la empresa y no tienen requisitos de proteccin formales ni controles
adicionales aparte de las prcticas recomendadas estndar para proteger la infraestructura. Estos
activos normalmente son informacin de amplia difusin pblica en los que una revelacin no
autorizada no dara lugar a una prdida financiera importante, problemas legales o normativos,
interrupciones operativas o desventaja competitiva de negocios.
La siguiente es una lista no exhaustiva de algunos ejemplos de activos de repercusin baja en la
empresa:
Estructura de alto nivel de la organizacin.
Informacin bsica acerca de la plataforma operativa de TI.
Acceso de lectura a pginas Web de acceso pblico.
Claves de cifrado privadas.

Notas de prensa publicadas, folletos de producto, notas del producto y documentos incluidos en
los productos publicados.

Informacin de negocios o activos tangibles obsoletos.
Organizacin de la informacin de riesgos

El riesgo implica muchos componentes en activos, amenazas, vulnerabilidades y controles. El
responsable de evaluacin de riesgos debe poder determinar el componente de riesgo del que se
trata sin interferir en el flujo de la conversacin. Para organizacin el debate, utilice la plantilla de
discusin de riesgos (GARSHerramienta1-Herramienta de recopilacin de datos.doc) incluida en la
seccin Herramientas para facilitar a los asistentes la comprensin de los componentes en riesgo. La
plantilla tambin facilita al responsable de registro de evaluacin de riesgos la obtencin de
informacin de riesgos de forma coherente en las reuniones.
Los datos de la plantilla se pueden rellenar en cualquier secuencia. Sin embargo, la experiencia
demuestra que si se sigue la secuencia segn las siguientes preguntas, se facilita a los participantes
del debate la comprensin de los componentes de riesgo y revela ms informacin:
Qu activo se va a proteger?
Cul es el valor del activo para la organizacin?
Qu se intenta evitar que le suceda al activo (amenazas conocidas y posibles)?
Cmo se pueden producir la prdida o las exposiciones?
Cul es el alcance de la exposicin potencial para el activo?

Qu se est haciendo actualmente para reducir la probabilidad o el alcance del dao en el
activo?
Cules son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?
Para el profesional de seguridad de informacin, las preguntas anteriores se traducen en
terminologa y categoras de evaluacin de riesgos especficas que se emplean para asignar
prioridades a los riesgos. No obstante, es posible que el participante no est familiarizado con
dichos trminos y no est encargado de asignar prioridades a los riesgos. La experiencia demuestra
que si se evita terminologa de seguridad de informacin, como amenazas, vulnerabilidades y
contramedidas, se mejora la calidad del debate y permite que los participantes sin conocimientos
tcnicos no se sientan intimidados. Otra ventaja de utilizar trminos funcionales para debatir el
riesgo radica en que se reduce la posibilidad de que otros tcnicos discutan sutilezas de trminos
especficos. En este punto del proceso es mucho ms importante comprender las reas de mayor
riesgo que debatir definiciones opuestas de amenaza y vulnerabilidad. El responsable de evaluacin
de riesgos debe esperar hasta el final del debate para resolver dudas acerca de las definiciones y
terminologa de los riesgos.
Organizacin por niveles de defensa en profundidad

El responsable de registro y el responsable de evaluacin de riesgos recopilarn grandes cantidades
de informacin. Utilice el modelo de defensa en profundidad para facilitar la organizacin de los
debates correspondientes a todos los elementos de riesgo. Esta organizacin proporciona una
estructura y ayuda al equipo de administracin de riesgos de seguridad a recopilar informacin de
riesgos en la organizacin. En la plantilla de debate de riesgos se incluye un ejemplo de niveles de
defensa en profundidad y se ilustra en la figura 4.2. En la seccin titulada "Organizacin de las
soluciones de control" del captulo 6, "Implementacin de controles y medicin de la efectividad del
programa", se incluye una descripcin ms detallada del modelo de defensa en profundidad.
Figura 4.2 Modelo de defensa en profundidad
Otra herramienta til para complementar el modelo de defensa en profundidad es hacer referencia
al estndar ISO 17799 para organizar las preguntas y respuestas relativas a los riesgos. Hacer
referencia a un estndar exhaustivo como ISO 17799 tambin facilita los debates acerca de los
riesgos en relacin con reas adicionales, por ejemplo, jurdica, directiva, proceso, personal y
desarrollo de aplicaciones.
Definicin de amenazas y vulnerabilidades

La informacin acerca de las amenazas y vulnerabilidades proporciona la prueba tcnica que se
emplea para asignar prioridades a los riesgos en una empresa. Debido a que muchos participantes
sin conocimientos tcnicos pueden no estar familiarizados con las exposiciones detalladas que
afectan a su empresa, es posible que el responsable de evaluacin de riesgos tenga que ofrecer
ejemplos que contribuyan a iniciar el debate. sta es un rea en la que resulta muy valiosa una
investigacin previa para ayudar a los responsables de negocios a detectar y comprender el riesgo
en sus propios entornos. Como referencia, en ISO 17799 se definen las amenazas como una causa
de repercusiones posibles en la organizacin. NIST define una amenaza como un suceso o entidad
con posibilidad de daar el sistema. Las repercusiones derivadas de una amenaza normalmente se
definen con conceptos como confidencialidad, integridad y disponibilidad. Hacer referencia a
estndares del sector resulta muy til al investigar amenazas y vulnerabilidades.
Para el debate de riesgos facilitado puede resultar til traducir las amenazas y vulnerabilidades en
trminos conocidos para los participantes sin conocimientos tcnicos. Por ejemplo, qu se intenta
evitar? o qu se teme que le suceda al activo? La mayora de las repercusiones en la empresa se
pueden clasificar en confidencialidad del activo, integridad o disponibilidad del activo para la
realizacin de las actividades. Intente utilizar este enfoque si los participantes tienen dificultades
para entender el significado de las amenazas para los activos organizativos. Un ejemplo habitual de
una amenaza para la organizacin es un ataque a la integridad de los datos financieros. Despus de
haber articulado lo que intenta evitar, la siguiente tarea consiste en determinar el modo en que las
amenazas se producen en la organizacin.
Una vulnerabilidad es un punto dbil de un activo o grupo de activos que una amenaza puede
atacar. De un modo simplificado, las vulnerabilidades proporcionan el mecanismo o el modo en que
se pueden producir las amenazas. Como referencia adicional, NIST define la vulnerabilidad como
una situacin o punto dbil en (o la ausencia de) los procedimientos de seguridad, controles
tcnicos, controles fsicos u otros controles que puede aprovechar una amenaza. Como ejemplo, una
vulnerabilidad habitual de los osas es la ausencia de actualizaciones de seguridad. La incorporacin
de los ejemplos de amenaza y vulnerabilidad indicados anteriormente genera la siguiente
declaracin: "los osas sin revisiones pueden provocar un ataque a la integridad de la informacin
financiera que se encuentra en ellos".
Un error habitual al llevar a cabo una evaluacin de riesgos es centrarse en vulnerabilidades
tcnicas. La experiencia demuestra que las vulnerabilidades ms importantes se suelen producir
debido a la ausencia de un proceso definido o un control no adecuado de la seguridad de
informacin. No pase por alto los aspectos organizativos y de liderazgo de la seguridad durante el
proceso de recopilacin de datos. Por ejemplo, retomando la vulnerabilidad de actualizaciones de
seguridad anterior, la imposibilidad de aplicar actualizaciones en sistemas administrados puede
conllevar un ataque a la integridad de la informacin financiera que se encuentra en dichos
sistemas. El control claro y la aplicacin de directivas de seguridad de informacin suelen ser un
problema organizativo en muchas empresas.
Nota: durante el proceso de recopilacin de datos puede reconocer grupos comunes de amenazas y
vulnerabilidades. Realice un seguimiento de estos grupos para determinar si con controles similares
se puede reducir la probabilidad de varios riesgos.
Estimacin de exposicin de los activos

Despus de que el responsable de evaluacin de riesgos dirija el debate por la identificacin de
activos, amenazas y vulnerabilidades, la siguiente tarea consiste en recopilar las estimaciones de los
participantes acerca del alcance de los daos posibles al activo, independientemente de su
definicin de clase. El alcance de daos posibles se define como exposicin del activo.
Tal como se ha descrito anteriormente, el responsable de negocios es el encargado de identificar los
activos y estimar la prdida posible para el activo o la organizacin. A modo de revisin, la clase de
activos, la exposicin y la combinacin de amenaza y vulnerabilidad definen las repercusiones
globales en la organizacin. A continuacin, las repercusiones se combinan con la probabilidad para
realizar la declaracin de riesgo bien elaborada, tal como se ha definido en el captulo 3.
El responsable de evaluacin de riesgos inicia el debate con los siguientes ejemplos de categoras
cualitativas de exposicin posible para cada combinacin de amenaza y vulnerabilidad asociada a un
activo:
Ventaja competitiva
Legal/normativo
Disponibilidad operativa
Reputacin en el mercado
Por cada categora, ayude a los participantes a situar las estimaciones en los tres grupos siguientes:
Exposicin alta: prdida grave o completa del activo.
Exposicin moderada: prdida limitada o moderada.
Exposicin baja: prdida menor o no hay prdida.

En la seccin de asignacin de prioridades de este captulo se ofrecen indicaciones para incorporar
detalles a las categoras de exposicin anteriores. Al igual que en la tarea de cuantificar los activos,
el proceso de administracin de riesgos de seguridad de Microsoft recomienda esperar hasta el paso
de asignacin de prioridades para precisar los niveles de exposicin.
Nota: si los participantes tienen dificultades para seleccionar los niveles de exposicin durante los
debates facilitados, retome los detalles de amenaza y vulnerabilidad para facilitar la indicacin del
nivel posible de daos o prdida del activo. Los ejemplos pblicos de ataques de seguridad tambin
constituyen otra herramienta til. Si se necesita ayuda adicional, introduzca el mximo de niveles
detallados de exposicin segn lo definido en la seccin de asignacin de prioridades detalladas ms
adelante en este captulo.
Estimacin de la probabilidad de las amenazas

Despus de que los participantes hayan proporcionado las estimaciones de las posibles
repercusiones en los activos organizativos, el responsable de evaluacin de riesgos recopila sus
opiniones acerca de la probabilidad de que las repercusiones se produzcan. De este modo se cierra
el debate acerca de los riesgos y se permite que el participante comprenda el proceso de identificar
los riesgos de seguridad. Recuerde que el grupo de seguridad de informacin se encarga de la
decisin final acerca de la estimacin de probabilidad de que se produzcan repercusiones en la
organizacin. Este debate se puede considerar de cortesa y un modo de generar buena voluntad en
los participantes.
Utilice las siguientes indicaciones para estimar la probabilidad de cada amenaza y vulnerabilidad
identificada en el debate:
Alta: muy probable, previsin de uno o varios ataques en un ao.
Media: probable, previsin de ataque en dos a tres aos.
Baja: no probable, no se prev ningn ataque en tres aos.

Normalmente se incluye la revisin de las incidencias que se han producido recientemente. Segn
resulte adecuado, debata estas indicaciones en orden para que los participantes comprendan la
importancia de la seguridad y el proceso de administracin de riesgos global.
El proceso de administracin de riesgos de seguridad de Microsoft asocia un intervalo de un ao a la
categora de probabilidad alta porque los controles de seguridad de informacin normalmente
tardan perodos largos en implementarse. Seleccionar la probabilidad de un ao llama la atencin
del riesgo y anima a tomar una decisin de mitigacin en el siguiente ciclo presupuestario. Una
probabilidad alta, combinada con una repercusin alta, exige un debate acerca de los riesgos entre
los participantes y el equipo de administracin de riesgos de seguridad. El grupo de seguridad de
informacin debe tomar conciencia de esta responsabilidad al estimar la probabilidad de las
repercusiones.
La siguiente tarea es recopilar las opiniones de los participantes acerca de los posibles controles que
puedan reducir la probabilidad de las repercusiones identificadas. Trate este debate como una
sesin de lluvia de ideas y no critique ni rechace ninguna idea. De nuevo, el objetivo principal de
este debate es demostrar todos los componentes de riesgo para facilitar la comprensin. La
seleccin de mitigacin real se produce en la fase de apoyo a la toma de decisiones. Por cada
posible control identificado, revise el debate de probabilidad para estimar el nivel de aparicin
reducida mediante las mismas categoras cualitativas descritas anteriormente. Indique a los
participantes que el concepto de reduccin de probabilidad del riesgo es la variable principal para
administrar el riesgo a un nivel aceptable.
Facilitar los debates acerca de los riesgos
En esta seccin se describe la preparacin de las reuniones de debate acerca de los riesgos y se
definen las cinco tareas del debate de recopilacin de datos (determinar los activos y escenarios
organizativos, identificar las amenazas, identificar las vulnerabilidades, estimar la exposicin de
activos, identificar los controles existentes y la probabilidad de un ataque).
Preparacin de las reuniones

Un factor sutil, pero importante, de xito es el orden en que se llevan a cabo los debates acerca de
los riesgos. La experiencia en Microsoft demuestra que cuanta ms informacin aporta el equipo de
administracin de riesgos de seguridad a cada reunin, ms productivo es su resultado. Una
estrategia consiste en crear una base de conocimientos de los riesgos en la organizacin para
aprovechar la experiencia de los equipos de seguridad de informacin y de TI. Celebre una reunin
con el grupo de seguridad de informacin en primer lugar y, a continuacin, con los equipos de TI
para actualizar los conocimientos acerca del entorno. De este modo, el equipo de administracin de
riesgos de seguridad puede disponer de una mayor comprensin del rea de la organizacin de cada
participante. Tambin permite que dicho equipo comparta los avances de la evaluacin de riesgos
con los participantes segn resulte adecuado. Segn esta prctica recomendada, lleve a cabo los
debates acerca de los riesgos con la direccin ejecutiva hacia el final del proceso de recopilacin de
datos. Los ejecutivos normalmente desean obtener un avance de la direccin que toma la
evaluacin de riesgos. No lo confunda con el patrocinio y el apoyo ejecutivo. La participacin de los
ejecutivos es necesaria al principio y durante el proceso de evaluacin de riesgos.
Dedique tiempo a crear la lista de invitados a cada debate acerca de los riesgos. Se recomienda
llevar a cabo reuniones con grupos de participantes que dispongan de responsabilidades y
conocimientos tcnicos similares. El objetivo es que los asistentes se sientan cmodos con el nivel
tcnico del debate. Aunque un conjunto variado de participantes puede suponer una ventaja al
ofrecer otros puntos de vista acerca del riesgo de la organizacin, el proceso de evaluacin de
riesgos debe permanecer centrado en recopilar todos los datos pertinentes en el tiempo asignado.
Despus de programar los debates acerca de los riesgos, investigue el rea de organizacin de cada
participante para familiarizarse con los activos, las amenazas, las vulnerabilidades y los controles.
Tal como se ha indicado anteriormente, esta informacin permite al responsable de evaluacin de
riesgos mantener el debate encauzado y a un ritmo productivo.
Facilitar los debates

El debate dirigido debe tener un tono informal; no obstante, el responsable de evaluacin de riesgos
debe mantener el debate en orden para tratar todo el material pertinente. La experiencia demuestra
que el debate normalmente no se ajusta a la agenda. Los errores probables se producen cuando los
participantes inician discusiones tcnicas acerca de las nuevas vulnerabilidades o tienen soluciones
de control preconcebidas. El responsable de evaluacin de riesgos debe utilizar la investigacin
previa a la reunin y su experiencia para elaborar un resumen de la discusin tcnica y hacer que la
reunin avance. Con la suficiente preparacin, una reunin con cuatro a seis participantes debe
durar aproximadamente 60 minutos.
Dedique unos minutos al principio para tratar la agenda y hacer hincapi en las funciones y
responsabilidades en el programa de administracin de riesgos. Los participantes deben comprender
de forma clara sus funciones y las aportaciones que se esperan de ellos. Otra prctica recomendada
es proporcionar a todos los participantes una hoja de trabajo de debate de riesgos de ejemplo para
que tomen notas personales. De este modo tambin se ofrece una referencia a medida que el
responsable de evaluacin de riesgos dirige el debate de riesgos. Otra prctica recomendada es
llegar antes y anotar la plantilla de riesgos en una pizarra para registrar datos durante la reunin.
Para una reunin de 60 minutos, la distribucin del tiempo debe ser parecida a la siguiente:
Presentaciones e informacin general acerca de la administracin de riesgos: 5 minutos
Funciones y responsabilidades: 5 minutos
Debate acerca de los riesgos: 50 minutos

El debate acerca de los riesgos se divide en las siguientes secciones:
Determinar los activos organizativos y los escenarios
Identificar las amenazas
Identificar las vulnerabilidades
Estimar la exposicin de los activos
Estimar la probabilidad de las amenazas
Debates de los controles propuestos
Resumen de la reunin y pasos siguientes

El flujo real de la reunin vara segn el grupo de participantes, el nmero de riesgos debatidos y la
experiencia del responsable de evaluacin de riesgos. Utilice ste como gua en cuanto a la
dedicacin de tiempo relativo a cada tarea de la evaluacin. Asimismo, considere la posibilidad de
enviar la plantilla de recopilacin de datos antes de la reunin si los participantes tienen experiencia
en el proceso de evaluacin de riesgos.
Nota: en las secciones restantes de este captulo se incluye informacin de ejemplo para demostrar
el uso de las herramientas a las que se ha hecho referencia en la fase de evaluacin de riesgos. La
empresa de ejemplo es ficticia y el contenido relacionado con el riesgo slo representa una parte de
los datos necesarios para una evaluacin de riesgos completa. El ejemplo se centra en mostrar
nicamente el modo en que se puede recopilar y analizar la informacin mediante las herramientas
proporcionadas con esta gua. Una demostracin completa de todos los aspectos del proceso de
administracin de riesgos de seguridad de Microsoft genera una cantidad considerable de datos y
queda fuera del mbito de esta gua. La empresa ficticia es un banco que ofrece servicios a
particulares denominado Woodgrove Bank. El contenido relacionado con el ejemplo se puede
identificar mediante el encabezado "Ejemplo de Woodgrove" que antecede a cada tema de ejemplo.
Tarea 1: Determinar los activos organizativos y los escenarios

La primera tarea consiste en recopilar las definiciones de los participantes de los activos
organizativos en el mbito de la evaluacin de riesgos. Utilice la plantilla de recopilacin de datos,
mostrada a continuacin, para asignar los activos tangibles, intangibles o de servicio de TI segn
resulte adecuado (GARSHerramienta1-Herramienta de recopilacin de datos.doc tambin se incluye
como herramienta con esta gua). Por cada activo, ayude a los participantes a seleccionar una clase
de activos y a registrarla en la plantilla. Segn resulte adecuado, registre tambin el responsable
del activo. Si los participantes tienen dificultades para seleccionar una clase de activos, compruebe
que el activo est definido en un nivel detallado para facilitar el debate. Si los participantes siguen
teniendo dificultades, omita esta tarea y espere hasta los debates acerca de las amenazas y las
vulnerabilidades. La experiencia demuestra que los participantes pueden clasificar los activos ms
fcilmente cuando aprecian las amenazas posibles para el activo y toda la empresa.
El debate en relacin con los activos organizativos se puede limitar a unas preguntas simples. Por
ejemplo, el activo es crucial para el xito de la empresa? y el activo puede tener repercusiones
materiales en los resultados? Si las respuestas son afirmativas, el activo puede tener repercusiones
altas en la organizacin.
Figura 4.3 Instantnea de la plantilla de recopilacin de datos (GARSHerramienta1)

Ejemplo de Woodgrove: Woodgrove Bank dispone de numerosos activos de alto valor que van
desde sistemas de clculo de intereses e informacin personal de clientes hasta datos financieros de
consumidor y reputacin como institucin de confianza. Este ejemplo slo se centra en uno de estos
activos, datos financieros de consumidor, para demostrar el uso de las herramientas incluidas en
esta gua. Despus de tratar la responsabilidad del activo en la reunin de debate acerca de los
riesgos, el equipo de administracin de riesgos de seguridad ha identificado al vicepresidente de
servicios al consumidor como el responsable del activo. Si se identifica un riesgo controvertido o una
estrategia de mitigacin cara, este responsable de negocios ser un participante clave al decidir el
riesgo aceptable para Woodgrove Bank. Al hablar con los representantes de los servicios al
consumidor, el equipo de administracin de riesgos de seguridad ha confirmado que los datos
financieros de consumidor son un activo de alto valor para la empresa.
Tarea 2: Identificar las amenazas

Utilice terminologa comn para facilitar el debate acerca de las amenazas, por ejemplo, qu
desean evitar los participantes que les suceda a los distintos activos? Centre los debates en qu
puede suceder en vez de cmo puede suceder. Plantee las preguntas en trminos de
confidencialidad, integridad o disponibilidad del activo y registre la informacin en la plantilla de
recopilacin de datos.
Ejemplo de Woodgrove: segn los activos tratados anteriormente, se pueden identificar
numerosas amenazas. Para abreviar, este ejemplo slo se centra en la amenaza de una prdida de
integridad de los datos financieros de consumidor. Tambin puede haber amenazas adicionales en
cuanto a la disponibilidad y la confidencialidad de los datos de consumidor; no obstante, quedan
fuera del mbito de este ejemplo bsico.
Tarea 3: Identificar las vulnerabilidades

Por cada amenaza identificada, ofrezca ideas acerca de las vulnerabilidades, por ejemplo, cmo se
podra producir la amenaza. Anime a los participantes a ofrecer ejemplos tcnicos especficos al
documentar las vulnerabilidades. Cada amenaza puede tener varias vulnerabilidades. Esto es
normal y sirve de ayuda en las etapas posteriores de identificacin de controles en la fase de apoyo
a la toma de decisiones del proceso de administracin de riesgos.
Ejemplo de Woodgrove: teniendo en cuenta la amenaza de prdida de integridad en los datos
financieros de consumidor, el equipo de administracin de riesgos de seguridad ha condensado la
informacin recopilada durante los debates acerca de los riesgos en las tres vulnerabilidades
siguientes:
1. Robo de credenciales de asesor financiero por parte de empleados de confianza mediante
ataques no tcnicos, por ejemplo, ingeniera social o escuchas.
2. Robo de credenciales de asesor financiero a travs de hosts de la red de rea local (LAN)
mediante el uso de configuraciones de seguridad obsoletas.
3. Robo de credenciales de asesor financiero a travs de hosts remotos, o mviles, como resultado
de configuraciones de seguridad obsoletas.
Tenga en cuenta que puede haber muchas ms vulnerabilidades en este escenario. El objetivo es
demostrar el modo en que las vulnerabilidades se asignan a amenazas especficas. Tenga tambin
en cuenta que es posible que los participantes no designen las vulnerabilidades en trminos
tcnicos. El equipo de administracin de riesgos de seguridad debe precisar las declaraciones de
amenazas y vulnerabilidades segn sea necesario.
Tarea 4: Estimar la exposicin de los activos

El responsable de evaluacin de riesgos dirige el debate para estimar la exposicin de cada
combinacin de amenaza y vulnerabilidad. Pida a los participantes que seleccionen un nivel de
exposicin alta, moderada o baja y lo registren en la plantilla. En el caso de activos y sistemas
digitales, una directriz til consiste en clasificar la exposicin como alta si la vulnerabilidad permite
un control de nivel administrativo, o raz, del activo.
Ejemplo de Woodgrove: despus de identificar las amenazas y las vulnerabilidades, el
responsable de evaluacin de riesgos dirige el debate para recopilar informacin acerca del nivel
posible de daos que las combinaciones de amenaza y vulnerabilidad tratadas anteriormente
pueden producir a la empresa. Tras debatirlo, el grupo determina lo siguiente:
Un ataque de integridad por parte de un empleado de confianza puede provocar daos a la
empresa, pero probablemente no sean demasiado graves. En este escenario, el alcance del dao
es limitado porque cada asesor financiero slo puede tener acceso a los datos de cliente que
administra. Por lo tanto, el grupo de debate reconoce que un nmero menor de credenciales
robadas provoca menos daos que un nmero mayor.
Un ataque de integridad mediante el robo de credenciales en los hosts de la LAN puede provocar
un nivel grave, o alto, de daos. Esto es as, especialmente, en el caso de un ataque

automatizado que pueda recopilar varias credenciales de asesor financiero en un breve perodo
de tiempo.
Un ataque de integridad mediante el robo de credenciales en los hosts mviles tambin puede
tener un nivel grave, o alto, de daos. El grupo de debate anota que las configuraciones de
seguridad en los hosts remotos normalmente van por detrs de los sistemas LAN.
Tarea 5: Identificar los controles existentes y la probabilidad de un

ataque
Utilice el debate acerca de los riesgos para comprender mejor los puntos de vista de los
participantes del entorno de controles actual, sus opiniones acerca de la probabilidad de un ataque y
sus sugerencias de controles propuestos. Los puntos de vista de los participantes pueden diferir de
la implementacin real, pero proporcionan una referencia valiosa al grupo de seguridad de
informacin. Utilice este punto del debate para recordar a los participantes sus funciones y
responsabilidades en el programa de administracin de riesgos. Documente los resultados en la
plantilla.
Ejemplo de Woodgrove: despus del debate acerca de la exposicin posible para la empresa con
las amenazas y vulnerabilidades identificadas, los participantes sin conocimientos tcnicos no
disponen de suficiente experiencia para comentar la probabilidad de que un host est en peligro en
relacin a otro. Sin embargo, estn de acuerdo en que los hosts remotos, o los hosts mviles, no
reciben el mismo nivel de administracin que los de la LAN. Se debate la necesidad de que los
asesores financieros revisen peridicamente los informes de actividad para detectar
comportamientos no autorizados. Estos comentarios se recopilan y los tendr en cuenta el equipo
de administracin de riesgos de seguridad durante la fase de apoyo a la toma de decisiones.
Resumen del debate acerca de los riesgos

Al final del debate acerca de los riesgos, resuma brevemente los riesgos identificados para facilitar
el cierre de la reunin. Asimismo, recuerde a los participantes el proceso de administracin de
riesgos global y calendario. La informacin recopilada en el debate acerca de los riesgos otorga a los
participantes una funcin activa en el proceso de administracin de riesgos y ofrece informacin
valiosa al equipo de administracin de riesgos de seguridad.
Ejemplo de Woodgrove: el responsable de evaluacin de riesgos resume el debate y destaca los
activos, amenazas y vulnerabilidades que se han tratado. Tambin describe el proceso de
administracin de riesgos global e informa al grupo de debate el hecho de que el equipo de
administracin de riesgos de seguridad har uso de su informacin, y la de otros, al estimar la
probabilidad de cada amenaza o vulnerabilidad.
Definicin de las declaraciones de consecuencias

La ltima tarea del paso de recopilacin de datos facilitados consiste en analizar la cantidad
posiblemente grande de informacin recopilada durante los debates acerca de los riesgos. El
resultado de este anlisis es una lista de declaraciones que describen el activo y la exposicin
posible debido a una amenaza y vulnerabilidad. Tal como se ha definido en el captulo 3, estas
declaraciones se denominan declaraciones de repercusiones. Las repercusiones se determinan
mediante la combinacin de la clase de activos con el nivel de exposicin posible para el activo.
Recuerde que las repercusiones son la mitad de la declaracin de riesgo; las repercusiones se
combinan con la probabilidad de que suceda para completar la declaracin de riesgo.
El equipo de administracin de riesgos de seguridad crea las declaraciones de repercusiones
mediante la consolidacin de la informacin recopilada en los debates acerca de los riesgos, la
incorporacin de las repercusiones identificadas anteriormente y, tambin, la inclusin de datos de
repercusiones de sus propias observaciones. El equipo de administracin de riesgos de seguridad es
responsable de esta tarea, pero debe solicitar informacin adicional a los participantes segn sea
necesario.
La declaracin de repercusiones contiene el activo, la clase de activos, el nivel de defensa en
profundidad, la descripcin de la amenaza, la descripcin de la vulnerabilidad y la clasificacin de
exposicin. Utilice la informacin registrada en la plantilla de recopilacin de datos para definir las
declaraciones de repercusiones para todos los debates facilitados. En la figura 4.4 se muestran los
encabezados de columna correspondientes de la plantilla de riesgo de nivel de resumen para
recopilar los datos especficos de repercusiones.
Figura 4.4 Hoja de trabajo de nivel de riesgo de resumen: columnas Activo y Exposicin
(GARSHerramienta2)
Ejemplo de Woodgrove: la informacin de ejemplo recopilada durante los debates acerca de los
riesgos se puede organizar mediante el desarrollo de declaraciones de repercusiones. El equipo de
administracin de riesgos de seguridad puede documentar las declaraciones de repercusiones
mediante frases; por ejemplo, "La integridad de los datos de cliente de alto valor puede estar
amenazada por el robo de credenciales de hosts administrados de forma remota". Aunque este
enfoque es preciso, la elaboracin de frases no sirve para una gran cantidad de riesgos debido a las
incoherencias en la redaccin, la comprensin y la ausencia de datos de organizacin (clasificacin o
consulta de riesgos). Un enfoque ms eficaz consiste en asignar los datos de repercusiones a la
tabla de nivel de resumen tal como se muestra a continuacin.
Figura 4.5 Ejemplo de Woodgrove: Informacin obtenida durante el proceso de recopilacin de

datos (GARSHerramienta2)
Nota: en la siguiente seccin, titulada "Asignacin de prioridades a los riesgos", se proporcionan
indicaciones adicionales acerca de la seleccin y documentacin de la clasificacin de efecto
empleadas en el proceso de riesgos de nivel de resumen.
Resumen de recopilacin de datos

Mediante la consolidacin de la informacin obtenida durante los debates de recopilacin de datos
en declaraciones de repercusiones individuales, el equipo de administracin de riesgos de seguridad
ha concluido las tareas del paso de recopilacin de datos facilitados de la fase de evaluacin de
riesgos. En la siguiente seccin, "Asignacin de prioridades a los riesgos", se detallan las tareas de
la asignacin de prioridades a los riesgos. Durante la asignacin de prioridades, el equipo de
administracin de riesgos de seguridad se encarga de estimar la probabilidad de cada declaracin de
repercusiones. A continuacin, dicho equipo combina las declaraciones de repercusiones con sus
estimaciones de probabilidad de que suceda. El resultado es una lista exhaustiva de riesgos con
prioridades, lo que concluye la fase de evaluacin de riesgos.
Al analizar los riesgos se pueden identificar riesgos que dependen de que otros se produzcan. Por
ejemplo, si se produce un incremento de privilegio en un activo de repercusin baja en la empresa,
se puede quedar expuesto un activo de repercusin alta en la empresa. Este ejercicio es vlido; no
obstante, las dependencias de los riesgos pueden llegar a generar una cantidad ingente de datos
que se tienen que recopilar, administrar y hacer un seguimiento de ellos. El proceso de
administracin de riesgos de seguridad de Microsoft recomienda destacar las dependencias segn
sea factible, pero normalmente no es rentable administrar todas las dependencias de los riesgos. El
objetivo global es identificar y administrar los riesgos de mxima prioridad para la empresa.
Asignacin de prioridades a los riesgos

Tal como se ha tratado en la seccin anterior, el paso de recopilacin de datos facilitados define las
tareas para elaborar una lista de declaraciones de repercusiones para identificar los activos
organizativos y sus posibles repercusiones. En esta seccin se describe el siguiente paso de la fase
de evaluacin de riesgos: la asignacin de prioridades a los riesgos. El proceso de asignacin de
riesgos incorpora el elemento de probabilidad a la declaracin de repercusiones. Recuerde que una
declaracin de riesgo bien elaborada requiere tanto las repercusiones para la organizacin como la
probabilidad de que se produzcan. El proceso de asignacin de prioridades se puede considerar
como el ltimo paso en la "definicin de los riesgos ms importantes para la organizacin". Su
resultado final es una lista de prioridades de riesgos que se utilizar como la informacin para el
proceso de apoyo a la toma de decisiones que se describe en el captulo 5, "Apoyo a la toma de
decisiones".
El grupo de seguridad de informacin es el nico responsable del proceso de asignacin de
prioridades. El equipo puede consultar a participantes con conocimientos tcnicos y sin dichos
conocimientos, pero es su responsabilidad determinar la probabilidad de las repercusiones posibles
para la organizacin.
Mediante la aplicacin del proceso de administracin de riesgos de seguridad de Microsoft, el nivel
de probabilidad tiene la capacidad de incrementar la toma de conciencia de un riesgo a los mximos
niveles de la organizacin o puede reducirla tanto que el riesgo se pueda aceptar sin ms debate. La
estimacin de la probabilidad de riesgo requiere que el equipo de administracin de riesgos de
seguridad dedique mucho tiempo a evaluar exhaustivamente cada combinacin de amenaza y
vulnerabilidad de prioridad. Cada combinacin se evala segn los controles actuales para tener en
cuenta la eficacia de dichos controles que pueda influir en la probabilidad de repercusiones para la
organizacin. Este proceso puede resultar abrumador para organizaciones grandes y puede
comprometer la decisin inicial de invertir en un programa de administracin de riesgos formal. Para
reducir el tiempo dedicado a la asignacin de prioridades a los riesgos, el proceso se puede dividir
en dos tareas: un proceso de nivel de resumen y otro de nivel detallado.
En el proceso de nivel de resumen se genera una lista de riesgos con prioridades muy rpidamente,
similar a los procedimientos de seleccin que se utilizan en las habitaciones de urgencias
hospitalarias para garantizar que se ofrece ayuda a los pacientes que ms la necesitan en primer
lugar. No obstante, el inconveniente es que se produce una lista que slo contiene comparaciones
de alto nivel entre los riesgos. Una larga lista de nivel de resumen de los riesgos en que cada uno se
considere alto no proporciona suficientes indicaciones al equipo de administracin de riesgos de
seguridad ni le permite asignar prioridades a las estrategias de mitigacin. En todo caso, los equipos
pueden clasificar rpidamente los riesgos para identificar los riesgos altos y moderados, lo que
permite que el equipo de administracin de riesgos de seguridad centre sus esfuerzos slo en los
riesgos que parecen ms importantes.
En el proceso de nivel detallado se elabora una lista con ms detalle que permite diferenciar
fcilmente los riesgos entre s. La vista de riesgos detallada permite la clasificacin apilada de los
riesgos y tambin incluye una vista ms detallada del posible efecto financiero derivado del riesgo.
Este elemento cuantitativo facilita el clculo de costos de los debates de controles en el proceso de
apoyo a la toma de decisiones, que se describe en el siguiente captulo.
Algunas organizaciones pueden optar por no elaborar una lista de riesgos de nivel de resumen. Si
no se analiza, puede parecer que esta estrategia ahorra tiempo, pero no es as. Minimizar el nmero
de riesgos en la lista de nivel detallado, en ltima instancia, hace que el proceso de evaluacin de
riesgos sea ms eficaz. Un objetivo principal del proceso de administracin de riesgos de seguridad
de Microsoft es simplificar el proceso de evaluacin de riesgos mediante el equilibrio entre la
granularidad agregada al anlisis de riesgos y el esfuerzo necesario para calcular el riesgo.
Simultneamente, intenta promover y conservar la claridad en relacin con la lgica inherente para
que los participantes dispongan de una comprensin clara de los riesgos para la organizacin.
Algunos riesgos pueden tener la misma clasificacin en la lista de resumen y en la detallada; no
obstante, las clasificaciones ofrecen suficiente informacin para determinar si el riesgo es
importante para la organizacin y si debe pasar al proceso de apoyo a la toma de decisiones.
Nota: el objetivo final de la fase de evaluacin de riesgos es definir los ms importantes para la
organizacin. El objetivo de la fase de apoyo a la toma de decisiones es determinar lo que se debe
hacer para solucionarlos.
Los equipos normalmente se estancan en esta etapa mientras los participantes debaten la
importancia de varios riesgos. Para reducir los posibles retardos, aplique las siguientes tareas segn
resulte adecuado para su organizacin:
1. Sin emplear trminos tcnicos, defina los riesgos de nivel alto y medio para la organizacin
antes de iniciar el proceso de asignacin de prioridades.
2. Centre la atencin en los riesgos que estn en el lmite entre los niveles alto y medio.
3. Evite debatir el modo de afrontar los riesgos antes de decidir si es importante. Preste atencin a
los participantes que tengan soluciones preconcebidas en mente y busquen resultados para
proporcionar justificacin al proyecto.
En el resto de esta seccin se tratan los factores de xito y las tareas para crear las clasificaciones
de riesgos de nivel de resumen y detallado. En las siguientes tareas y en la figura 4.6 se ofrece
informacin general de la seccin y los componentes clave del proceso de asignacin de prioridades
a los riesgos.
Tareas y componentes principales

Tarea 1: elaborar la lista de nivel de resumen mediante clasificaciones amplias para estimar la
probabilidad de repercusiones para la organizacin.
Resultado: lista de nivel de resumen para identificar rpidamente la prioridad de los riesgos
para la organizacin.
Tarea 2: revisar la lista de nivel de resumen con los participantes para empezar a alcanzar
consenso en la prioridad de los riesgos y seleccionar los riesgos para la lista de nivel detallado.
Tarea 3: elaborar la lista de nivel detallado mediante el examen de los atributos detallados del
riesgo en el entorno de negocios actual. Esto incluye indicaciones para determinar la estimacin
cuantitativa de cada riesgo.
Resultado: lista de nivel detallado que proporciona informacin exhaustiva de los riesgos
principales para la organizacin.
Figura 4.6 Tareas de asignacin de prioridades a los riesgos

Nota: el resultado de riesgos de nivel detallado se revisar con los participantes en el proceso de
apoyo a la toma de decisiones descrito en el captulo 5.
Preparacin para el xito

La asignacin de prioridades a los riesgos para la organizacin no es una mera propuesta. El equipo
de administracin de riesgos de seguridad debe intentar predecir el futuro mediante la estimacin
de cundo y cmo las posibles repercusiones pueden afectar a la organizacin y, a continuacin,
debe justificar estas predicciones ante los participantes. Un error habitual que cometen muchos
equipos es "ocultar" las tareas empleadas para determinar la probabilidad y utilizar clculos para
representar la probabilidad en porcentajes u otras cifras de resultados a las que suponen que los
responsables de negocios respondern ms rpidamente. Pero la experiencia al desarrollar el
proceso de administracin de riesgos de seguridad de Microsoft ha demostrado que los participantes
son ms propensos a aceptar los anlisis del equipo de administracin de riesgos de seguridad si la
lgica es clara durante el proceso de asignacin de prioridades. El proceso se centra en la
comprensin por parte de los participantes a lo largo del mismo. La lgica de asignacin de
prioridades debe ser lo ms simple posible para lograr el consenso rpidamente y reducir los
malentendidos. La experiencia en elaboracin de evaluaciones de riesgos en el departamento de TI
de Microsoft y otras empresas ha demostrado que las siguientes prcticas recomendadas resultan
tiles para el equipo de administracin de riesgos de seguridad durante el proceso de asignacin de
prioridades:
Analizar los riesgos durante el proceso de recopilacin de datos. Debido a que la asignacin de
prioridades a los riesgos puede ocupar mucho tiempo, intente anticiparse a los riesgos
controvertidos e inicie el proceso de asignacin de prioridades lo ms pronto posible. Este mtodo
abreviado es posible debido a que el equipo de administracin de riesgos de seguridad es el nico
responsable del proceso de asignacin de prioridades.
Lleve a cabo la investigacin para generar credibilidad para estimar la probabilidad. Utilice los
informes de auditora anteriores y tenga en cuenta las tendencias del sector as como las
incidencias de seguridad internas segn resulte adecuado. Vuelva a consultar a los participantes
segn sea necesario para obtener informacin acerca de los controles actuales y la toma de
conciencia de los riesgos especficos en sus entornos.
Programe tiempo suficiente en el proyecto para llevar a cabo investigaciones y realizar anlisis de
la efectividad y las capacidades del entorno de controles actual.

Recuerde a los participantes que el equipo de administracin de riesgos de seguridad tiene la
responsabilidad de determinar la probabilidad. El patrocinador ejecutivo tambin debe reconocer

esta funcin y apoyar el anlisis del equipo de administracin de riesgos de seguridad.
Comunicar el riesgo en trminos de negocios. Evite utilizar expresiones relacionadas con el miedo
o jerga tcnica en el anlisis de asignacin de prioridades. El equipo de administracin de riesgos

de seguridad debe comunicar el riesgo en unos trminos que la organizacin comprenda y evitar
la tentacin de exagerar el nivel de peligro.
Reconciliar los nuevos riesgos con los anteriores. Al crear la lista de nivel de resumen, incorpore
los riesgos de las evaluaciones anteriores. Esto permite que el equipo de administracin de
riesgos de seguridad realice un seguimiento de los riesgos en varias evaluaciones y proporcione
la ocasin de actualizar los elementos de riesgo anteriores segn sea necesario. Por ejemplo, si
un riesgo anterior no se ha mitigado debido a los altos costos de mitigacin, revise la
probabilidad de que el riesgo se produzca y vuelva a tener en cuenta los cambios en la solucin o
costos de mitigacin.
Asignacin de prioridades a los riesgos de seguridad

En la siguiente seccin se explica el proceso de elaboracin de las listas de riesgos de nivel de
resumen y detallado. Puede resultar til imprimir las plantillas de apoyo para cada proceso que se
encuentran en la seccin de herramientas.
Asignacin de prioridades a riesgos de nivel de resumen

La lista de nivel de resumen utiliza la declaracin de repercusiones generada durante el proceso de
proceso de recopilacin de datos. La lista de declaracin de repercusiones es el primero de los dos
elementos de informacin de la vista de resumen. El segundo elemento de informacin es la
estimacin de probabilidades que ha determinado el equipo de administracin de riesgos de
seguridad. En las siguientes tres tareas se proporciona informacin general acerca del proceso de
asignacin de prioridades de nivel de resumen:
Tarea 1: determinar el valor de las repercusiones a partir de las declaraciones de repercusiones
elaboradas en el proceso de recopilacin de datos.

Tarea 2: estimar la probabilidad de las repercusiones para la lista de nivel de resumen.
Tarea 3: completar la lista de nivel de resumen mediante la combinacin de los valores de
repercusiones y de probabilidad por cada declaracin de riesgo.

Tarea 1: Determinar el nivel de las repercusiones
La informacin de clase de activos y de exposicin de activo obtenida en el proceso de recopilacin
de datos se debe resumir en un solo dato para determinar las repercusiones. Recuerde que las
repercusiones son la combinacin de la clase de activos y el alcance de exposicin al activo. Utilice
la siguiente figura para seleccionar el nivel por cada declaracin de repercusiones.
Hoja de trabajo de anlisis de riesgos: clase de activos y nivel de exposicin
(GARSHerramienta2)
Ejemplo de Woodgrove: recuerde que el ejemplo de Woodgrove tena tres declaraciones de
repercusiones. En la siguiente lista se resumen estas declaraciones mediante la combinacin de la
clase de activos y el nivel de exposicin:
1. Repercusin de robo por parte de empleados de confianza: clase de activos de repercusin alta
en la empresa y exposicin baja. Segn la figura anterior, esto implica una repercusin
moderada.
2. Repercusin de peligro de los hosts de la LAN: clase de activos de repercusin alta en la
empresa y exposicin alta causan una repercusin alta.
3. Repercusin de peligro de los hosts remotos: clase de activos de repercusin alta en la empresa
y exposicin alta causan una repercusin alta.
Tarea 2: Estimar la probabilidad de nivel de resumen
Utilice las mismas categoras de probabilidad descritas en el proceso de recopilacin de datos. Las
categoras de probabilidad se incluyen a continuacin como referencia:
Alta: muy probable, previsin de uno o varios ataques en un ao.
Media: probable, previsin de ataque una vez al menos en dos a tres aos.
Baja: no probable, no se prev ningn ataque en tres aos.

Ejemplo de Woodgrove: la asignacin de prioridades a riesgos de nivel de resumen es el primer
documento formal de la estimacin del equipo de administracin de riesgos de seguridad acerca de
la probabilidad de riesgo. El equipo de administracin de riesgos de seguridad debe estar preparado
para proporcionar pruebas o casos que justifiquen sus estimaciones; por ejemplo, referencias a
incidencias anteriores o a la efectividad de los controles actuales. En la siguiente lista se resumen
los niveles de probabilidad para el ejemplo de Woodgrove:
1. Probabilidad de robo por parte de empleados de confianza: baja. Woodgrove National Bank se
enorgullece de contratar a empleados de confianza. El equipo directivo comprueba esta
confianza mediante comprobaciones de antecedentes y efecta auditoras aleatorias de la
actividad de los asesores financieros. En el pasado no se han identificado incidencias
relacionadas con el abuso por parte los empleados.
2. Probabilidad de peligro de los hosts de la LAN: media. El departamento de TI ha formalizado
recientemente su proceso de revisiones y configuracin en la LAN debido a incoherencias en
aos anteriores. Debido a la naturaleza descentralizada del banco, en ocasiones los sistemas se
han identificados como no conformes; no obstante, no se ha informado de incidencias en los
ltimos meses.
3. Probabilidad de peligro de los hosts remotos: alta. Los hosts remotos normalmente no son
compatibles durante largos perodos de tiempo. Tambin se han identificado incidencias
recientes relacionadas con infecciones de virus y gusanos en los hosts remotos.
Tarea 3: Completar la lista de nivel de resumen
Despus de que el equipo de administracin de riesgos de seguridad estime la probabilidad, utilice
la siguiente figura para seleccionar la clasificacin de riesgo de nivel de resumen.
Figura 4.8 Hoja de trabajo de anlisis de riesgos: repercusiones y probabilidad
(GARSHerramienta2)
Nota: segn resulte adecuado para su organizacin, el nivel de riesgo de una repercusin media
combinada con una probabilidad media se puede definir como riesgo alto. Definir los niveles de
riesgo independientemente del proceso de evaluacin de riesgos proporciona las indicaciones
necesarias para tomar esta decisin. Recuerde que la gua de administracin de riesgos de
seguridad es una herramienta para facilitar el desarrollo de un programa de administracin de
riesgos exhaustivo y coherente. Cada organizacin debe definir lo que significa riesgo alto para su
propia empresa.
Ejemplo de Woodgrove: la combinacin de las clasificaciones de repercusiones y de probabilidad
da como resultado las siguientes clasificaciones de riesgos:
1. Riesgo de robo por parte de empleados de confianza: bajo (repercusin media, probabilidad
baja)
2. Riesgo de peligro de los hosts de la LAN: alto (repercusin alta, probabilidad media)
3. Riesgo de peligro de los hosts remotos: alto (repercusin alta, probabilidad alta)
Como revisin, en la siguiente figura se representan todas las columnas de la lista de nivel de
resumen, que tambin est incluida en GARSHerramienta2-Nivel de riesgo de resumen.xls
Figura 4.9 Hoja de trabajo de anlisis de riesgos: lista de nivel de resumen

(GARSHerramienta2)
Segn resulte adecuado para su organizacin, agregue columnas para incluir informacin de apoyo,
por ejemplo, la columna "Fecha de identificacin" para diferenciar los riesgos identificados en
evaluaciones anteriores. Tambin puede agregar columnas para actualizar las descripciones de
riesgo o destacar cambios en el riesgo que se hayan producido desde la evaluacin anterior. Debe
adaptar el proceso de administracin de riesgos de seguridad de Microsoft, incluidas las
herramientas, para ajustarlo a sus necesidades especficas.
Ejemplo de Woodgrove: la siguiente figura completa el ejemplo de la lista de riesgos de nivel de
resumen para Woodgrove Bank. Tenga en cuenta que las columnas "Probabilidad" y "Nivel de riesgo
de resumen" se han agregado a la informacin de declaracin de repercusiones para completar los
elementos de una declaracin de riesgo bien elaborada.
Figura 4.10 Ejemplo de lista de riesgos de nivel de resumen de Woodgrove Bank
(GARSHerramienta2)
Revisin con los participantes
La siguiente tarea del proceso de asignacin de prioridades es la revisin de los resultados de
resumen con los participantes. Los objetivos son mantener informados a los participantes acerca del
proceso de evaluacin de riesgos y solicitar su colaboracin para seleccionar los riesgos de los que
se realizar un anlisis ms detallado. Utilice los siguientes criterios al seleccionar los riesgos que se
incluir en el proceso de asignacin de prioridades de nivel detallado:
Riesgos de nivel alto: los riesgos clasificados como altos se deben incluir en la lista detallada.
Cada riesgo alto debe tener una resolucin despus del proceso de apoyo a la toma de
decisiones; por ejemplo, aceptar el riesgo o desarrollar una solucin de mitigacin.
Riesgos dudosos: cree el anlisis de asignacin de prioridades detallado para riesgos
moderados que requieren una resolucin. En algunas organizaciones se pueden llegar a incluir
todos los riesgos moderados en la lista detallada.
Riesgos controvertidos: si un riesgo es nuevo, no se ha comprendido bien o los participantes
tienen distintos puntos de vista, cree el anlisis detallado para que los participantes tenga un
conocimiento ms preciso del riesgo.
Ejemplo de Woodgrove: tenga en cuenta que el riesgo "Robo por parte de empleados de
confianza" se ha clasificado como Bajo en la lista de riesgos de nivel de resumen. En este punto del
proceso de asignacin de prioridades, todos los participantes comprenden perfectamente este
riesgo. En el caso de Woodgrove, sirve de ejemplo de un riesgo que no es necesario graduar en el
paso de asignacin de prioridades a riesgos de nivel detallado. Para el resto del ejemplo de
Woodgrove, slo se asignan prioridades a los riesgos de peligro de hosts de la LAN y remotos.
Asignacin de prioridades a riesgos de nivel detallado

La elaboracin de la lista de riesgos de nivel detallado es la ltima tarea del proceso de evaluacin
de riesgos. La lista detallada tambin constituye una de las tareas ms importantes porque permite
que la organizacin comprenda la lgica subyacente en los riesgos ms importantes para la
empresa. Despus de completar el proceso de evaluacin de riesgos, en ocasiones la simple
notificacin de un riesgo bien documentado a los participantes basta para desencadenar la accin.
En el caso de las organizaciones sin un programa de administracin de riesgos formal, el proceso de
administracin de riesgos de seguridad de Microsoft puede suponer una experiencia reveladora.
Nota: si todos los participantes comprenden bien un riesgo, el detalle del nivel de resumen puede
ser suficiente para determinar la solucin de mitigacin adecuada.
La lista de riesgos detallada aprovecha muchos de los elementos de informacin de la lista de nivel
de resumen; no obstante, la vista detallada requiere que el equipo de administracin de riesgos de
seguridad sea ms especfico en sus descripciones de repercusiones y de probabilidad. Por cada
riesgo de nivel de resumen, compruebe que cada combinacin de amenaza y vulnerabilidad no se
repite en los riesgos. Normalmente es posible que los riesgos de nivel de resumen no se describan
lo suficiente como para que se asocien a controles especficos del entorno; en este caso, no podr
estimar la probabilidad de que suceda de forma precisa. Por ejemplo, puede mejorar la descripcin
de amenaza de la siguiente declaracin de riesgo de nivel de resumen para describir dos riesgos
distintos:
Declaracin de riesgo de nivel de resumen:
En el plazo de un ao, los servidores de alto valor se pueden ver afectados moderadamente por un
gusano debido a configuraciones a las que no se han aplicado revisiones.
Declaracin de nivel detallado 1:
En el plazo de un ao, los servidores de alto valor pueden no estar disponibles durante tres das
debido a una propagacin de gusano provocada por configuraciones a las que no se han aplicado
revisiones.
Declaracin de nivel detallado 2:
En el plazo de un ao, los servidores de alto valor pueden estar en peligro, lo que afectara a la
integridad de los datos, debido a una propagacin de gusano provocada por configuraciones a las
que no se han aplicado revisiones.
Nota: se recomienda familiarizarse con los anlisis de riesgos detallados antes del proceso de
recopilacin de datos. Esto facilita al equipo de administracin de riesgos de seguridad el plantear
preguntas especficas durante los debates iniciales de recopilacin de datos con los participantes y
reduce la necesidad de reuniones de seguimiento.
La lista de riesgos de nivel detallado tambin requiere declaraciones especficas acerca de la
efectividad del entorno de controles actual. Despus de que el equipo de administracin de riesgos
de seguridad haya adquirido un conocimiento detallado de las amenazas y vulnerabilidades que
afectan a la organizacin, se puede iniciar el trabajo de conocer los detalles de los controles
actuales. El entorno de controles actual determina la probabilidad de riesgos para la organizacin. Si
el entorno de controles es suficiente, la probabilidad de un riesgo para la organizacin es baja. Si no
lo es, se debe definir una estrategia de riesgos; por ejemplo, aceptar el riesgo o desarrollar una
solucin de mitigacin. Como prctica recomendada, se debe realizar un seguimiento de los riesgos
independientemente de su nivel de riesgo final. Por ejemplo, si el riesgo se considerable aceptable,
guarde esta informacin para evaluaciones futuras.
El ltimo elemento de la lista de riesgos de nivel detallado es una estimacin de cada riesgo en
trminos cuantificables y monetarios. La seleccin de un valor monetario para el riesgo no se
produce hasta que se ha empezado a trabajar en la lista de nivel detallado debido al tiempo
necesario para lograr el consenso entre los participantes. Es posible que el equipo de administracin
de riesgos de seguridad tenga que volver a consultar a los participantes para obtener datos
adicionales.
Las cuatro tareas siguientes describen el proceso para elaborar una lista de nivel detallado de los
riesgos. Puede ser til imprimir la plantilla de la seccin Herramientas denominada
"GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls". El resultado es
una lista detallada de riesgos que afectan a la organizacin. La estimacin cuantitativa se determina
despus del valor de riesgo detallado y se describe en la siguiente seccin.
Tarea 1: determinar las repercusiones y la exposicin.
Tarea 2: identificar los controles actuales.
Tarea 3: determinar la probabilidad de repercusiones.
Tarea 4: determinar el nivel de riesgo detallado.

Tarea 1: determinar las repercusiones y la exposicin
En primer lugar incorpore la clase de activos de la tabla de resumen en la plantilla detallada. A
continuacin, seleccione la exposicin del activo. Tenga en cuenta que la clasificacin de exposicin
de la plantilla detallada contiene granularidad adicional en comparacin con el nivel de resumen. La
clasificacin de exposicin de la plantilla detallada es un valor de 1 a 5. Recuerde que la clasificacin
de exposicin define el alcance de los daos en el activo. Utilice las siguientes plantillas como gua
para determinar la clasificacin de exposicin adecuada para su organizacin. Debido a que cada
valor de las cifras de exposicin puede afectar al nivel de repercusiones en el activo, inserte el
mayor de los valores despus de haber asignado las cifras. La primera cifra de exposicin ayuda a
cuantificar el alcance de las repercusiones de un ataque a la confidencialidad o integridad de los
activos de negocios. La segunda cifra ayuda a cuantificar las repercusiones en la disponibilidad de
los activos.
Figura 4.11 Hoja de trabajo de anlisis de riesgos: clasificaciones de exposicin de

confidencialidad o integridad (GARSHerramienta3)
Despus de tener en cuenta el alcance de los daos producidos por posibles ataques a la
confidencialidad y la integridad, utilice la siguiente figura para determinar el nivel de repercusiones
debido a la ausencia de disponibilidad del activo. Seleccione el valor ms alto como el nivel de
exposicin de ambas tablas.
Figura 4.12 Hoja de trabajo de anlisis de riesgos: clasificaciones de exposicin de

disponibilidad (GARSHerramienta3)
Utilice la figura como orientacin recopilar clasificaciones de exposicin por cada ataque posible. Si
los debates de recopilacin de datos no han proporcionado suficientes detalles acerca de los posibles
niveles de exposicin, es posible que tenga revisarlos con el responsable del activo especfico. Tal
como se ha mencionado en la seccin de recopilacin de datos, haga referencia a las descripciones
de exposicin anteriores durante los debates acerca de los riesgos segn sea necesario.
Ejemplo de Woodgrove: en la siguiente lista se resumen las clasificaciones de exposicin para los
dos riesgos restantes:
1. Clasificacin de exposicin de peligro de los hosts de la LAN: 4. Las repercusiones de negocios
pueden ser graves y visibles externamente, pero no deben daar por completo todos los datos
financieros de consumidor. Por lo tanto, se ha seleccionado una clasificacin de 4.
2. Clasificacin de exposicin de peligro de los hosts remotos: 4 (igual que en el caso anterior).
Despus de identificar la clasificacin de exposicin, estar preparado para determinar el valor de
las repercusiones si rellena las columnas correspondientes de GARSHerramienta3-Asignacin de
prioridades a los riesgos de nivel detallado.xls y calcula el valor. En el proceso de riesgos de nivel
detallado, las repercusiones son el producto del valor de clase de repercusin y el factor de
exposicin. A cada clasificacin de exposicin se le asigna un porcentaje que refleja el alcance de los
daos en el activo. Este porcentaje se denomina factor de exposicin. El proceso de administracin
de riesgos de seguridad de Microsoft recomienda una escala lineal del 100% de exposicin al 20%;
realice los ajustes pertinentes segn su organizacin. Cada valor de repercusin tambin se asocia a
un valor cualitativo de alto, medio o bajo. Esta clasificacin resulta til para comunicar el nivel de
repercusin y realizar el seguimiento de los elementos de riesgo en los clculos de riesgos
detallados. Como ayuda, en la siguiente figura tambin se muestran los posibles valores de
repercusin para cada clase de repercusin.
Figura 4.13 Hoja de trabajo de anlisis de riesgos: determinacin de los valores de repercusin
(GARSHerramienta3)
Ejemplo de Woodgrove: en la siguiente figura se muestra el modo de determinar los valores de
clase de repercusin, clasificacin de exposicin y clasificacin de efecto global mediante el ejemplo
de Woodgrove.
Figura 4.14 Ejemplo de Woodgrove con valores detallados de clase de repercusin, clasificacin
de exposicin y valor de repercusin (GARSHerramienta3)
Ejemplo de Woodgrove
Tarea 2: identificar los controles actuales
En GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls se describen los
controles actuales de la organizacin que en este momento reducen la probabilidad de la amenaza y
la vulnerabilidad definida en la declaracin de repercusiones. En los clculos de probabilidad
detallada tambin se evala una clasificacin de efectividad de los controles; no obstante, la
documentacin de los controles aplicables facilita la comunicacin de los elementos de riesgo. Puede
resultar til organizar las descripciones de los controles en categoras conocidas de grupos de
controles de administracin, operaciones o tcnicos. Esta informacin tambin es til en el proceso
de apoyo a la toma de decisiones descrito en el captulo 5.
Ejemplo de Woodgrove: la siguiente representa una lista de ejemplo de los controles principales
para el "riesgo de peligro de los hosts de la LAN". Consulte GARSHerramienta3-Asignacin de
prioridades a los riesgos de nivel detallado.xls para obtener descripciones de controles adicionales.
Tenga en cuenta que las descripciones de los controles tambin se pueden emplear para justificar
las clasificaciones de exposicin:
Los asesores fiscales slo pueden tener acceso a las cuentas de las que son responsables; por lo
tanto, la exposicin es inferior al 100%.

A todos los usuarios se les envan proactivamente avisos por correo electrnico para que se
apliquen revisiones a los hosts o se actualicen.

El estado de las actualizaciones de antivirus y de seguridad se mide y aplica en la LAN cada pocas
horas. Este control reduce el intervalo de tiempo en el que los hosts de la LAN son vulnerables a
los ataques.
Tarea 3: determinar la probabilidad de repercusiones
La clasificacin de probabilidad consta de dos valores. El primer valor determina la probabilidad de
la vulnerabilidad existente en el entorno segn los atributos de la misma y al ataque posible. El
segundo valor determina la probabilidad de la vulnerabilidad existente en funcin de la efectividad
de los controles actuales. Cada valor se representa mediante un intervalo de 1 a 5. Utilice las
siguientes figuras como orientacin para determinar la probabilidad de cada repercusin en la
organizacin. A continuacin, la clasificacin de probabilidad se multiplicar por la clasificacin de
efecto para determinar la clasificacin de riesgo relativo.
Nota: las figuras 4.15 y 4.17 han servido de ayuda al departamento de TI de Microsoft a
comprender las probabilidades de que los riesgos se produzcan en sus entornos. Ajuste el contenido
segn resulte adecuado para su organizacin.
El grupo de seguridad de informacin se encarga del proceso de asignacin de prioridades y debe
adaptar los atributos de las prioridades segn sea necesario. Por ejemplo, puede modificar las cifras
para centrarse en vulnerabilidades especficas de aplicacin en vez de en vulnerabilidad de
infraestructura empresarial si el mbito de evaluacin est centrado en el desarrollo de aplicaciones.
El objetivo es disponer de un conjunto coherente de criterios para evaluar el riesgo en el entorno.
En la siguiente figura se incluyen estos atributos de vulnerabilidad:
Poblacin de piratas informticos: la probabilidad de ataque normalmente aumenta a medida
que se incrementa el tamao y el nivel de conocimientos tcnicos de la poblacin de piratas

informticos.
Acceso remoto y local: la probabilidad normalmente aumenta si una vulnerabilidad se puede
aprovechar de forma remota.

Visibilidad de vulnerabilidad: la probabilidad normalmente aumenta si una vulnerabilidad es
conocida y est disponible de forma pblica.

Automatizacin de ataque: la probabilidad normalmente aumenta si un ataque se puede
programar para buscar automticamente vulnerabilidades en entornos grandes.

Recuerde que la estimacin de probabilidad de un ataque es subjetiva por naturaleza. Utilice los
atributos anteriores como orientacin para determinar y justificar las estimaciones de probabilidad.
El equipo de administracin de riesgos de seguridad debe basarse y promover su experiencia para
seleccionar y justificar sus predicciones.
Figura 4.15 Hoja de trabajo de anlisis de riesgos: evaluacin de la vulnerabilidad
(GARSHerramienta3)
Seleccione la clasificacin adecuada en la siguiente figura.
Figura 4.16 Hoja de trabajo de anlisis de riesgos: evaluacin del valor de probabilidad
(GARSHerramienta3)
Ejemplo de Woodgrove: para los hosts de la LAN y remotos, es probable que todos los atributos
de vulnerabilidad de la categora Alta se aprecien dentro y fuera del entorno LAN de Woodgrove en
el futuro prximo. Por lo tanto, el valor de vulnerabilidad es de 5 para ambos riesgos.
En la siguiente figura se evala la efectividad de los controles actuales. Este valor es subjetivo por
naturaleza y se basa en la experiencia del equipo de administracin de riesgos de seguridad para
comprender su entorno de controles. Responda cada pregunta y, despus, sume los valores para
determinar la clasificacin final de los controles. Un valor menor significa que los controles son
eficaces y pueden reducir la probabilidad de que se produzca un ataque.
Figura 4.17 Hoja de trabajo de anlisis de riesgos: evaluacin de la efectividad de los controles
actuales (GARSHerramienta3)
Ejemplo de Woodgrove: para mostrar el modo en que se pueden utilizar los valores de efectividad
de los controles, en la siguiente tabla se resumen los valores slo para el riesgo de peligro de los
hosts de la LAN; consulte en GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls el ejemplo completo:
Tabla 4.2. Ejemplo de Woodgrove: valores de efectividad de los controles
Pregunta de efectividad de los Valor Descripcin

controles
El control se ha definido y exigido de 0 (s) La creacin de directivas y el control de

forma eficaz? cumplimiento de los hosts estn bien
definidos.
La toma de conciencia se comunica y 0 (s) Se envan notificaciones peridicas a los

sigue de forma eficaz? usuarios y se llevan a cabo campaas de
toma de conciencia generales.
Los procesos se han definido y puesto 0 (s) Se han documentado y seguido la medicin y
en prctica de forma eficaz? la aplicacin de conformidad.
La tecnologa o los controles existentes 1 (no) Los controles actuales seguirn permitiendo
reducen la amenaza de forma eficaz? un perodo de tiempo entre la vulnerabilidad
y la aplicacin de revisiones.
Son suficientes las prcticas de auditora 0 (s) La medicin y la auditora de conformidad

actuales para detectar el abuso o las son eficaces segn las herramientas actuales.
deficiencias de control?
Suma de todos los atributos de 1

control:
A continuacin, sume la cifra Vulnerabilidad (figura 4.16) al valor de la cifra Control actual (figura
4.17) e incorprelo a la plantilla de nivel detallado. La plantilla se muestra en la siguiente figura
como referencia:
Figura 4.18 Hoja de trabajo de anlisis de riesgos: clasificacin de probabilidad con control
(GARSHerramienta3)
Ejemplo de Woodgrove: la clasificacin de probabilidad total para el ejemplo de los hosts de la
LAN es de 6 (valor de 5 para la vulnerabilidad ms 1 para la efectividad del control).
Tarea 4: determinar el nivel de riesgo detallado
En la siguiente figura se muestra el resumen de nivel detallado para identificar el nivel de cada
riesgo identificado. Aunque la evaluacin de riesgos en un nivel detallado pueda parecer complicada,
se puede hacer referencia a la lgica subyacente en cada tarea de la clasificacin de riesgos
mediante las figuras anteriores. Esta posibilidad de realizar el seguimiento de cada tarea en la
declaracin de riesgo proporciona un valor significativo cuando se ayuda a los participantes a
comprender los detalles subyacentes del proceso de evaluacin de riesgos.
Figura 4.19 Hoja de trabajo de anlisis de riesgos: determinacin del nivel de riesgo detallado
(GARSHerramienta3)
Ejemplo de Woodgrove: en la siguiente figura se muestra el ejemplo de la lista de riesgos
detallada de Woodgrove Bank. Estos datos tambin se presentan en GARSHerramienta3.
Figura 4.20 Ejemplo de Woodgrove Bank para la lista de riesgos detallada (GARSHerramienta3)
En la figura anterior se muestra el contenido de la clasificacin de riesgos y sus elementos de datos.
Tal como se ha indicado anteriormente, la clasificacin de riesgo es el producto de la clasificacin de
efecto (con valores de 1 a 10) y la clasificacin de probabilidad (con valores de 0 a 10). De este
modo se genera un intervalo de valores de 0 a 100. Al aplicar la misma lgica empleada en la lista
de riesgos de nivel de resumen, el nivel de riesgo detallado tambin se puede comunicar en
trminos cualitativos de alto, medio o bajo. Por ejemplo, una repercusin media y una probabilidad
alta generan una clasificacin de riesgo alta. No obstante, la lista de nivel detallado ofrece
especificidad agregada para cada nivel de riesgo, tal como se muestra en la siguiente figura.
Figura 4.21 Hoja de trabajo de anlisis de riesgos: determinacin de la clasificacin cualitativa

de resumen (GARSHerramienta3)
Utilice los niveles de riesgo detallados slo como referencia. Tal como se ha descrito en el captulo 3,
el equipo de administracin de riesgos de seguridad debe poder comunicar a la organizacin, por
escrito, el significado de los riesgos altos, medios y bajos. El proceso de administracin de riesgos
de seguridad de Microsoft slo constituye una herramienta para identificar y administrar los riesgos
en la organizacin de un modo coherente y repetible.
Cuantificacin del riesgo

Tal como se ha descrito en el captulo 2, el proceso de administracin de riesgos de seguridad de
Microsoft primero aplica un enfoque cualitativo para identificar y asignar prioridades a los riesgos de
un modo oportuno y eficaz. Sin embargo, cuando se selecciona la estrategia de mitigacin de
riesgos ptima, la estimacin del posible costo monetario de un riesgo tambin resulta una cuestin
importante. As, para los riesgos de prioridad alta o controvertidos, el proceso tambin proporciona
indicaciones para determinar las estimaciones cuantitativas. Las tareas de cuantificacin de los
riesgos se llevan a cabo despus del proceso de riesgos de nivel detallado debido al tiempo y
esfuerzos considerables que se necesitan para alcanzar un acuerdo en las estimaciones monetarios.
Puede dedicar mucho tiempo en cuantificar los riesgos bajos si ha cuantificado los riesgos al
principio del proceso.
Como es evidente, una estimacin monetaria resulta til al comparar los distintos costos de las
estrategias de mitigacin de riesgos; no obstante, debido a la naturaleza subjetiva de la valoracin
de activos intangibles, no existe un algoritmo exacto para cuantificar el riesgo. El ejercicio de
estimar una prdida monetaria exacta en realidad puede retrasar la evaluacin de riesgos debido a
los desacuerdos entre los participantes. El equipo de administracin de riesgos de seguridad debe
estipular las expectativas de que la estimacin cuantitativa slo es uno de los muchos valores para
determinar la prioridad o el costo posible de un riesgo.
Una ventaja de utilizar el modelo cualitativo para asignar prioridades a los riesgos radica en la
posibilidad de aprovechar las descripciones cualitativas para aplicar un algoritmo cuantitativo de
forma coherente. Por ejemplo, el enfoque cuantitativo descrito a continuacin emplea la clase de
activos y las clasificaciones de exposicin identificados en las discusiones de riesgos facilitadas
documentadas con los participantes en la seccin de recopilacin de datos de este captulo.
De forma similar al enfoque cualitativo, la primera tarea del mtodo cuantitativo consiste en
determinar el valor total del activo. En la segunda tarea se determina el alcance de daos en el
activo, seguido de la estimacin de la probabilidad de que suceda. Para contribuir a reducir el grado
de subjetividad en la estimacin cuantitativa, el proceso de administracin de riesgos de seguridad
de Microsoft recomienda utilizar las clases de activos para determinar el valor total del activo y el
factor de exposicin para determinar el porcentaje de daos en el activo. Este enfoque limita el
resultado cuantitativo a tres clases de activos y cinco factores de exposicin, o 15 posibles valores
de activo cuantitativos. Sin embargo, el valor que estima la probabilidad no est limitado. Segn
resulte adecuado para su organizacin, puede optar por comunicar la probabilidad en trminos de
intervalo de tiempo o puede intentar en distribuir anualmente el costo del riesgo. El objetivo es
encontrar un equilibrio entre la facilidad de seleccionar una clasificacin relativa en el enfoque
cualitativo y la dificultad de la valoracin monetaria y estimar la probabilidad en el enfoque
cuantitativo.
Utilice las cinco tareas siguientes para determinar el valor cuantitativo:
Tarea 1: asignar un valor monetario a cada clase de activos de la organizacin.
Tarea 2: introducir el valor de activo de cada riesgo.
Tarea 3: generar el valor de expectativa de prdida simple.

Tarea 4: determinar la frecuencia anual.
Tarea 5: determinar la expectativa de prdida anual.

Nota: las tareas asociadas a la cuantificacin de riesgos de seguridad son similares a los pasos
utilizados en el sector de seguros para estimar el valor de activo, el riesgo y la cobertura adecuada.
En el momento de redactar esta gua, estn empezando a surgir plizas de seguro para riesgos de
seguridad de informacin. A medida que el sector de seguros adquiera experiencia en la evaluacin
de los riesgos de seguridad de informacin, herramientas como tablas actuariales se convertirn en
referencias valiosas para cuantificar los riesgos.
Tarea 1: asignar valores monetarios a las clases de activos

Mediante las definiciones de las clases de activos descritas en la seccin de recopilacin de datos
facilitados, inicie la cuantificacin de los activos que se ajusten a la descripcin de la clase de
repercusin alta en la empresa. Esto permite que el equipo de administracin de riesgos de
seguridad se centre primero en los activos ms importantes para la organizacin. Por cada activo,
asigne valores monetarios para la valoracin tangible e intangible para la organizacin. Utilice las
siguientes categoras como referencia para estimar el costo total de repercusiones para cada activo:
Costo de reemplazo
Costos de sustentacin/mantenimiento
Costos de redundancia/disponibilidad
Reputacin de la organizacin/mercado
Productividad de la organizacin
Ingresos anuales
Ventaja competitiva
Rendimiento operativo interno
Responsabilidad jurdica/normativa
Nota: la hoja de clculo GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado contiene una hoja de trabajo que puede facilitar este proceso.
Despus de disponer de las estimaciones monetarias de cada categora, sume los valores para
determinar la estimacin del activo. Repita este proceso para todos los activos representados en la
clase de repercusin alta en la empresa. El resultado debe ser una lista de activos con prioridades y
una estimacin aproximada de su valor monetario asociado para la organizacin. Repita este
proceso para los activos de las clases de repercusin moderada y baja en la empresa.
Con cada clase de activos, seleccione un valor monetario para representar la valoracin de la clase
de activos. Un enfoque conservador consiste en seleccionar el valor de activo mnimo en cada clase.
Se utilizar para representar el valor de un activo segn la clase de activos seleccionada por los
participantes durante los debates de recopilacin de datos facilitados. Este enfoque simplifica la
tarea de asignar valores monetarios a cada activo ya que se emplean las clases de activos
seleccionadas en los debates de recopilacin de datos.
Nota: otro enfoque para valorar los activos consiste en trabajar con el equipo de administracin de
riesgos financieros que puede disponer de una tasacin de seguros y datos de cobertura para
activos especficos.
Uso de la importancia relativa como orientacin
Si tiene dificultades para seleccionar los valores de clase de activos con el mtodo anterior, otro
enfoque consiste en emplear las directrices asociadas a la definicin de importancia relativa en los
estados financieros elaborados por las empresas de EE.UU. con participacin en el mercado de
valores. La comprensin de las directrices de importancia relativa por parte de su organizacin
puede resultar til en la seleccin del valor de activo alto para la estimacin cuantitativa.
El organismo Financial Accounting Standards Board (FASB) documenta lo siguiente en relacin con
los estados financieros de las empresas con participacin en el mercado de valores: "las
disposiciones de este estado no se tienen que aplicar a los elementos inmateriales". Para obtener
ms informacin, consulte www.sec.gov/interps/account/sab99.htm.
Es importante tener en cuenta este pasaje porque la FASB no dispone de un algoritmo para
determinar lo que es material o inmaterial y advierte en contra del uso de mtodos cuantitativos
estrictos. En su lugar, recomienda especficamente tener en cuenta todas las consideraciones
pertinentes: "la FASB rechaza un enfoque formulista como alivio de 'la pesada tarea de tomar
decisiones acerca de la importancia relativa' en favor de un enfoque que tenga en cuenta todas las
consideraciones pertinentes".
Aunque no existe una frmula, el organismo Security Exchange Commission de EE.UU, en el nmero
99 de Staff Accounting Bulletin, reconoce el uso de una regla general de referencia en la
contabilidad pblica que puede servir de ayuda para determinar las declaraciones errneas de
activos materiales. Para obtener ms informacin, consulte
www.sec.gov/interps/account/sab99.htm. La regla general de referencia mencionada es el cinco por
ciento de los valores del estado financiero. Por ejemplo, una forma de estimar la importancia
relativa de un ingreso neto de ocho mil millones de dlares sera analizar las posibles declaraciones
errneas de 400 millones de dlares o el conjunto de declaraciones errneas que puedan sumar 400
millones de dlares.
Las directrices de importancia material varan considerablemente segn la organizacin. Utilice las
directrices de definicin de importancia relativa slo como referencia. El proceso de administracin
de riesgos de seguridad de Microsoft en modo alguno pretende representar la posicin financiera de
una organizacin.
El uso de las directrices de importancia relativa puede resultar til para estimar el valor de los
activos de repercusin alta en la empresa. No obstante, dichas directrices pueden no resultar
adecuadas al seleccionar estimaciones moderadas y bajas. Se ha de reconocer que la elaboracin de
la estimacin de repercusiones es subjetiva por naturaleza. El objetivo es seleccionar valores que
sean significativos para la organizacin. Para determinar los valores moderados y bajos, es
aconsejable seleccionar un valor monetario que sea significativo en relacin con el importe dedicado
a la tecnologa de la informacin en la organizacin. Tambin puede optar por hacer referencia a los
costos actuales de los controles especficos de seguridad que se aplicarn a cada clase de activos.
Por ejemplo, en el caso de los activos de clase de repercusin moderada, se puede comparar el
valor con el gasto monetario actual en controles bsicos de infraestructura de red. Por ejemplo,
cul es el costo total estimado para software, hardware y recursos operativos para proporcionar
servicios antivirus a la organizacin? Esto proporciona una referencia para comparar los activos con
un importe monetario conocido en la organizacin; otro ejemplo: un valor de clase de repercusin
moderada puede valorarse tanto como el gasto actual en servidores de seguridad para proteger los
activos.
Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad de Woodgrove ha
trabajado con los participantes clave para asignar valores monetarios a las clases de activos. Debido
a que en Woodgrove no tenan experiencia en administracin de riesgos, la empresa decidi utilizar
las directrices de importancia relativa con el fin de elaborar una lnea de base para valorar activos.
Piensa revisar las estimaciones a medida que adquiera experiencia. Woodgrove genera un ingreso
neto aproximado de 200 millones de dlares al ao. Al aplicar el 5% de las directrices de
importancia relativa, a la clase de activos de repercusin alta en la empresa se le asigna un valor de
10 millones de dlares. Segn los gastos en TI anteriores que se han producido en Woodgrove, los
participantes han seleccionado un valor de 5 millones de dlares para los activos de repercusin
media y 1 milln de dlares para los de repercusin baja. Se han seleccionado estos valores porque
los grandes proyectos de TI emprendidos para dar apoyo y proteger los activos digitales en
Woodgrove histricamente han estado en estos intervalos. Dichos valores tambin se volvern a
revisar durante el siguiente ciclo de administracin de riesgos anual.
Tarea 2: identificar el valor del activo

Despus de determinar los valores de las clases de activos de la organizacin, identifique y
seleccione el valor adecuado para cada riesgo. El valor de clase de activos debe estar alineado con
el grupo de clase de activos seleccionado por los participantes en los debates de recopilacin de
datos. Se trata de la misma clase que se utiliza en las listas de riesgos de nivel de resumen y
detallado. Este enfoque reduce el debate acerca del valor de un activo especfico porque el valor de
clase de activos ya se ha determinado. Recuerde que el proceso de administracin de riesgos de
seguridad de Microsoft intenta alcanzar un equilibrio entre precisin y eficacia.
Ejemplo de Woodgrove: los datos financieros de consumidor se han identificado como de
repercusin alta en la empresa durante los debates de recopilacin de datos; por lo tanto, el valor
de activo es de 10 millones de dlares segn el valor de repercusin alta definido anteriormente.
Tarea 3: generar el valor de expectativa de prdida simple

A continuacin, determinar el alcance de los daos en el activo. Utilice la misma clasificacin de
exposicin identificada en los debates de recopilacin de datos para determinar el porcentaje de
daos en el activo. Este porcentaje se denomina factor de exposicin. Se utiliza la misma
clasificacin en las listas de riesgos de nivel de resumen y detallado. En enfoque conservador
consiste en aplicar una escala mvil lineal para cada valor de clasificacin de exposicin. El proceso
de administracin de riesgos de seguridad de Microsoft recomienda una escala mvil de 20% para
cada valor de clasificacin de exposicin. Puede modificarla segn resulte adecuado para su
organizacin.
La ltima tarea consiste en multiplicar el valor de activo por el factor de exposicin para generar la
estimacin cuantitativa de las repercusiones. En los modelos cuantitativos clsicos este valor se
denomina expectativa de prdida simple, por ejemplo, el valor de activo multiplicado por el factor
de exposicin.
En la siguiente figura se proporciona como referencia un ejemplo de un enfoque cuantitativo simple.
Tenga en cuenta que en el ejemplo siguiente simplemente se divide la clase de repercusin alta en
la empresa por la mitad para determinar los valores moderados y bajos. Es posible que tenga que
ajustar estos valores a medida que adquiera experiencia en el proceso de evaluacin de riesgos.
Figura 4.22 Hoja de trabajo de anlisis de riesgos: cuantificacin de la expectativa de prdida
simple (GARSHerramienta3)
Ejemplo de Woodgrove: en la siguiente figura se representan los valores para determinar la
expectativa de prdida simple de los dos riesgos de ejemplo.
Figura 4.23 Ejemplo de expectativa de prdida simple de Woodgrove Bank; nota: el valor en
dlares se expresa en millones (GARSHerramienta3)
Tarea 4: determinar la frecuencia anual

Despus de calcular la expectativa de prdida simple, se tiene que incorporar la probabilidad para
concluir la estimacin de riesgo monetario. Un enfoque comn consiste en estimar la frecuencia con
que se puede producir el riesgo en el futuro. Esta estimacin despus se convierte en una
estimacin anual. Por ejemplo, si el grupo de seguridad de informacin piensa que un riesgo se
puede producir dos veces al ao, la frecuencia anual es dos. Si un riesgo se puede producir una vez
cada tres aos, la frecuencia anual es un tercio, 33% o 0,33. Como ayuda para estimar la
probabilidad, utilice el anlisis cuantitativo anterior en el clculo de riesgo detallado. Utilice lo
siguiente como orientacin para identificar y comunicar el valor cuantitativo con el fin de determinar
la frecuencia anual.
Figura 4.24 Cuantificacin de la frecuencia anual (GARSHerramienta3)

Utilice la figura anterior slo como orientacin. El grupo de seguridad de informacin debe
seleccionar un valor para representar la frecuencia anual.
Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad determina las
siguientes frecuencias anuales para los riesgos de ejemplo:
1. Frecuencia anual de hosts de LAN: segn la evaluacin cualitativa de probabilidad media, el
equipo de administracin de riesgos de seguridad estima que el riesgo se presentar al menos
una vez cada dos aos; por lo tanto, la frecuencia anual estimada es 0,5.
2. Frecuencia anual de hosts remotos: de nuevo, segn la evaluacin cualitativa de probabilidad
alta, el equipo de administracin de riesgos de seguridad estima que el riesgo se presentar al
menos una vez al ao; por lo tanto, la frecuencia anual estimada es 1.
Tarea 5: determinar la expectativa de prdida anual
Para concluir la ecuacin cuantitativa, multiplique la frecuencia anual por la expectativa de prdida
simple. El producto se representa como la expectativa de prdida anual.
Expectativa de prdida anual = expectativa de prdida simple * frecuencia anual
Con la expectativa de prdida anual se intenta representar el costo posible del riesgo en trminos
anuales. Aunque puede servir de ayuda a los participantes con mentalidad financiera para estimar
los costos, el equipo de administracin de riesgos de seguridad tiene que volver a incidir en el hecho
de que las repercusiones en la organizacin no se ajustan exactamente a los gastos anuales. Si se
produce un riesgo, las repercusiones en la organizacin se pueden producir por completo.
Despus de determinar la estimacin cuantitativa del riesgo, consulte la hoja de trabajo de riesgos
detallados, que contiene una columna adicional para documentar referencias o explicaciones que
desee incluir con la estimacin cuantitativa. Utilice esta columna para facilitar la justificacin de la
estimacin cuantitativa y aportar pruebas segn resulte adecuado.
Ejemplo de Woodgrove: en la siguiente tabla se muestran los clculos bsicos con el fin de
determinar la expectativa de prdida anual para cada riesgo de ejemplo. Tenga en cuenta que
cambiar un valor puede modificar considerablemente el valor de expectativa de prdida anual.
Utilice los datos cualitativos para facilitar la justificacin y la determinacin de la estimacin
cuantitativa.
Figura 4.25 Ejemplo de expectativa de prdida anual de Woodgrove Bank; nota: los valores en
dlares se expresan en millones (GARSHerramienta3)
Resumen
La fase de evaluacin de riesgos del ciclo de administracin de riesgos es necesaria para administrar
los riesgos en la organizacin. Al llevar a cabo los pasos de planeamiento, recopilacin de datos
facilitados y asignacin de prioridades, recuerde que el propsito de la fase de evaluacin de riesgos
no es slo identificar y asignar prioridades a los riesgos, sino hacerlo de un modo eficaz y oportuno.
El proceso de administracin de riesgos de seguridad de Microsoft utiliza un enfoque hbrido de
anlisis cualitativo para identificar y clasificar rpidamente los riesgos; a continuacin, emplea los
atributos financieros del anlisis cuantificado para ofrecer una definicin ms precisa de los riesgos.
Facilitar el xito en la fase de apoyo a la toma de decisiones

Despus de que el equipo de administracin de riesgos de seguridad asigne prioridades a los riesgos
para la organizacin, debe comenzar el proceso para identificar las estrategias de mitigacin de
riesgos adecuadas. Con el fin de facilitar a los participantes la identificacin de las posibles
soluciones de mitigacin de riesgos, el equipo debe crear requisitos funcionales que contribuyan a
definir el mbito de la estrategia de mitigacin para el responsable de mitigacin adecuado. La tarea
de definicin de requisitos funcionales se describe en el proceso de apoyo a la toma de decisiones
global en el captulo 5, "Apoyo a la toma de decisiones".
Informacin general
Su organizacin ya debe haber terminado la fase de evaluacin de riesgos y haber desarrollado una
lista de prioridades de los riesgos para los activos ms valiosos. Ahora debe afrontar los riesgos ms
importantes mediante la determinacin de las acciones adecuadas para mitigarlos. Esta fase se
denomina apoyo a la toma de decisiones. Durante la fase anterior, el equipo de administracin de
riesgos de seguridad ha identificado los activos, las amenazas a dichos activos, las vulnerabilidades
que tales amenazas pueden aprovechar para efectuar posibles ataques en los activos y los controles
ya establecidos para proteger los activos. A continuacin, el equipo de administracin de riesgos de
seguridad ha elaborado una lista de prioridades de riesgos.
El proceso de apoyo a la toma de decisiones incluye un anlisis de costo-beneficio formal con
funciones y responsabilidades definidas en los lmites organizativos. El anlisis de costo-beneficio
proporciona una estructura coherente y exhaustiva para identificar, determinar el alcance y
seleccionar la solucin ms eficaz y asequible para reducir el riesgo a un nivel aceptable. De forma
similar al proceso de evaluacin de riesgos, el anlisis de costo-beneficio requiere definiciones de
funcin estrictas para que funcione de forma eficaz. Asimismo, antes de efectuar el anlisis de
costo-beneficio, el equipo de administracin de riesgos de seguridad debe garantizar que todos los
participantes, incluido el patrocinador ejecutivo, han reconocido y aceptado el proceso.
Durante la fase de apoyo a la toma de decisiones, el equipo de administracin de riesgos de
seguridad debe determinar cmo afrontar los riesgos clave del modo ms eficaz y asequible. El
resultado final sern planes claros para controlar, aceptar, transferir o evitar cada uno de los riesgos
principales identificados en el proceso de evaluacin de riesgos. Los seis pasos de la fase de apoyo a
la toma de decisiones son:
1. Definir los requisitos funcionales.
2. Seleccionar las soluciones de control.
3. Revisar las soluciones segn los requisitos.
4. Estimar la reduccin del nivel de riesgo que cada control proporciona.
5. Estimar los costos de cada solucin.
6. Seleccionar la estrategia de mitigacin de riesgos.
En la figura 5.1, a continuacin, se ilustran estos seis pasos y el modo en que la fase de apoyo a la
toma de decisiones se relaciona con el proceso de administracin de riesgos de seguridad global de
Microsoft.
Figura 5.1 Proceso de administracin de riesgos de seguridad de Microsoft: Fase de apoyo a la
toma de decisiones
A la hora comparar el valor de un determinado control con otro, no hay frmulas simples. El proceso
puede ser complejo por varios motivos. Por ejemplo, algunos controles afectan a varios activos. El
equipo de administracin de riesgos de seguridad debe ponerse de acuerdo en el modo de comparar
los valores de los controles que afectan a distintas combinaciones de activos. Adems, existen
costos asociados a controles que abarcan ms que la implementacin de dichos controles. Entre las
preguntas relacionadas que se deben plantear se incluyen:
Cunto tiempo estar efectivo el control?
Cuntas horas de mano de obra por ao se necesitarn para supervisar y mantener el control?
Cmo resultar de incmodo el control para los usuarios?

Cuntos cursos se necesitarn para los responsables de implementar, supervisar y mantener el
control?
El costo del control es razonable, en relacin con el valor del activo?
En el resto de este captulo se tratarn las respuestas a estas preguntas.
Obtendr xito durante el proceso de apoyo a la toma de decisiones si sigue un camino definido y si
los participantes comprenden sus funciones correspondientes en cada paso. En el siguiente
diagrama se ilustra el modo en que el equipo de administracin de riesgos de seguridad lleva a cabo
el proceso de apoyo a la toma de decisiones. Los responsables de mitigacin son los encargados de
proponer controles que reducirn el riesgo y, a continuacin, de determinar el costo de cada control.
Por cada control propuesto, el equipo de administracin de riesgos de seguridad estima la reduccin
del nivel de riesgo que se espera que el control proporcione. Con estos elementos de informacin, el
equipo puede llevar a cabo un anlisis de costo-beneficio eficaz del control para determinar si
recomienda su implementacin. Posteriormente, el comit de direccin de seguridad decide los
controles que se implementarn.
Figura 5.2 Informacin general acerca de la fase de apoyo a la toma de decisiones

La definicin clara de las funciones reduce las demoras parcialmente porque slo un grupo es el
responsable de la decisin. No obstante, la experiencia demuestra que la efectividad global del
programa de administracin de riesgos aumenta si cada responsable colabora con el resto de los
participantes.
Nota: la administracin de riesgos es un ciclo perpetuo, por lo que mantener un espritu cooperativo
aumenta la moral de los participantes y puede reducir realmente el riesgo de la empresa si se les
permite que reconozcan las ventajas de sus aportaciones y actan de forma oportuna para reducir
el riesgo. Como resulta evidente, debe procurar mantener y promover esta actitud a lo largo de los
procesos de administracin de riesgos y de apoyo a la toma de decisiones.
Informacin necesaria para la fase de apoyo a la toma de decisiones

Slo hay un elemento de informacin de la fase de evaluacin de riesgos que se necesita para la
fase de apoyo a la toma de decisiones: la lista de prioridades de los riesgos que se tienen que
mitigar. Si ha seguido los procedimientos descritos en el captulo 4, "Evaluacin del riesgo", habr
registrado esta informacin en la hoja de trabajo Riesgo detallado de la hoja de clculo
GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls de Microsoft
Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo
que contiene esta gua y los archivos relacionados. Seguir utilizando la misma hoja de trabajo
durante esta fase del proceso.
Participantes de la fase de apoyo a la toma de decisiones

Los participantes de la fase de apoyo a la toma de decisiones son similares a los de la fase de
evaluacin de riesgos; de hecho, la mayora, si no todos, de los miembros de equipo habrn
participado en la fase anterior. El informe de costo-beneficio informa de la mayora de las tareas del
proceso de apoyo a la toma de decisiones. No obstante, antes de iniciar el anlisis de costo-
beneficio, asegrese de que todos los participantes comprenden sus funciones correspondientes.
En la tabla siguiente se resumen las funciones y las responsabilidades principales de cada grupo en
el proceso de apoyo a la toma de decisiones.
Tabla 5.1: Funciones y responsabilidades en el programa de administracin de riesgos
Operaciones de negocios Identifica los controles de procedimiento

disponibles para administrar el riesgo
Responsable de negocios Se encarga del anlisis de costo-beneficio de los

activos
Finanzas Ayuda en el anlisis de costo-beneficio, puede

ayudar en el desarrollo y control presupuestario
Recursos humanos Identifica los requisitos de cursos de personal y los

controles segn sea necesario
Tecnologa de la informacin (TI): arquitectura Identifica y evala las posibles soluciones de

control
Tecnologa de la informacin: ingeniera Determina el costo de las soluciones de control y

cmo implementarlas
Tecnologa de la informacin: operaciones Implementa las soluciones de control tcnico
Auditora interna Identifica los requisitos de cumplimiento y revisa la

efectividad de los controles
Departamento jurdico Identifica los controles jurdicos, de directiva y

contractuales, y valida las estimaciones de valor
creadas para las repercusiones en la marca, la

responsabilidad jurdica y otros asuntos de
negocios
Relaciones pblicas Valida las estimaciones de valor creadas para las

repercusiones en la marca, la responsabilidad
jurdica y otros asuntos de negocios
Comit directivo de seguridad Selecciona las soluciones de control en funcin de

las recomendaciones del equipo de proyecto de
administracin de riesgos de seguridad
Equipo de administracin de riesgos de seguridad Define los requisitos funcionales de los controles
para cada riesgo, notifica el estado de proyecto a
los participantes y usuarios afectados segn sea
necesario
El equipo de administracin de riesgos de seguridad debe asignar un tcnico de seguridad para cada
riesgo identificado. Un nico punto de contacto reduce el riesgo de que el equipo de administracin
de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso ntido a
lo largo del anlisis de costo-beneficio.
Herramientas proporcionadas en la fase de apoyo a la toma de

decisiones
La informacin recopilada en esta fase del proceso se debe registrar en la hoja de trabajo Riesgo
detallado de la hoja de trabajo GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls de Excel, que se encuentra en la carpeta Herramientas y plantillas creada al
desempaquetar el archivo que contiene esta gua y los archivos relacionados.
Resultados necesarios para la fase de apoyo a la toma de decisiones

Durante esta fase del proceso de administracin de riesgos de seguridad de Microsoft, definir y
seleccionar varios elementos clave de informacin acerca de cada uno de los riesgos principales
que se han identificado durante la fase de evaluacin de riesgos. En la siguiente tabla se resumen
estos elementos clave y en las secciones posteriores de este captulo se describen en detalle.
Tabla 5.2: Resultados necesarios para la fase de apoyo a la toma de decisiones
Informacin que se recopilar Descripcin
Decisin acerca de cmo se afrontar cada riesgo Si se controlar, aceptar, transferir o evitar
cada uno de los riesgos principales
Requisitos funcionales Declaraciones que describen la funcionalidad

necesaria para mitigar el riesgo
Posibles soluciones de control Lista de controles identificados por los

responsables de mitigacin y el equipo de
administracin de riesgos de seguridad que pueden
resultar eficaces para mitigar cada riesgo
Reduccin de riesgo de cada solucin de control Evaluacin de cada solucin de control propuestas
para determinar en qu medida se reducir el nivel
de riesgo para el activo
Costo estimado de cada solucin de control Todos los costos asociados a la adquisicin,
implementacin, asistencia y medicin de cada
control propuesto
Lista de soluciones de control que se Seleccin efectuada mediante un anlisis de costo-

implementarn beneficio
Consideraciones acerca de las opciones de apoyo a la toma de

decisiones
Las organizaciones disponen de dos tcticas bsicas en lo que se refiere al modo en que afrontan el
riesgo: pueden aceptar un riesgo o pueden implementar controles para reducir el riesgo. Si optan
por aceptar un riesgo, pueden decidir transferirlo por completo, o una parte de l, a un tercero,
como una empresa de seguros o una empresa de servicios administrados. En las dos siguientes
secciones se examinarn estos dos enfoques del riesgo: aceptacin o implementacin de controles
que faciliten la reduccin del riesgo.
Nota: muchos especialistas de administracin de riesgos de seguridad creen que existe otra forma
de afrontar cada riesgo: evitarlo. Pero es importante tener presente que cuando se opta por evitar
un riesgo, se est decidiendo detener cualquier actividad que presente el riesgo. En relacin con la
administracin de riesgos de seguridad, para evitar un riesgo las organizaciones deben dejar de
utilizar el sistema de informacin que incluye el riesgo. Por ejemplo, si el riesgo es que "en un ao,
los servidores a los que no se hayan aplicado revisiones pueden estar en peligro por el software
malintencionado, lo que puede poner en peligro la integridad de los datos financieros", la nica
forma de evitar un riesgo es dejar de utilizar los servidores, lo que, con toda probabilidad, no es una
opcin realista. En el proceso de administracin de riesgos de seguridad de Microsoft se supone que
las organizaciones slo estn interesadas en examinar activos que proporcionen valor de negocio y
permanezcan en servicio. Por lo tanto, en esta gua no se tratar la evitacin del riesgo como una
opcin.
Aceptacin del riesgo actual

El comit directivo de seguridad debe optar por aceptar un riesgo actual si determina que no hay
controles asequibles para reducir productivamente el riesgo. Esto no significa que la organizacin no
puede afrontar de forma eficaz el riesgo mediante la implementacin de uno o varios controles, sino
que significa que el costo de implementar el control o los controles, o el efecto de dichos controles
en la capacidad de desarrollar el negocio de la empresa, es demasiado alto para el valor del activo
que necesita proteccin. Por ejemplo, tenga en cuenta el siguiente escenario:
Un equipo de administracin de riesgos de seguridad determina que uno de los riesgos ms
importantes para los activos clave de la organizacin es la dependencia de las contraseas para la
autenticacin de los usuarios cuando inician sesin en la red corporativa. El equipo identifica que la
implementacin de tecnologa de autenticacin de dos factores, como las tarjetas inteligentes, sera
la forma ms eficaz de reducir y, en ltima instancia, eliminar el uso de contraseas para la
autenticacin. A continuacin, el responsable de mitigacin calcula el costo de la implementacin de
tarjetas inteligentes en toda la organizacin y su efecto en los sistemas operativos y aplicaciones
existentes de la organizacin. El costo de la implementacin es bastante alto, pero puede estar
justificado; sin embargo, el equipo averigua que muchas de las aplicaciones de negocios
desarrolladas internamente de la organizacin se basan en la autenticacin basada en contrasea y
que la reescritura o reemplazo de dichas aplicaciones resultara excesivamente caro y se tardaran
varios aos. Finalmente, el equipo decide no recomendar, en un futuro inmediato, el uso de tarjetas
inteligentes para todos los empleados al comit directivo de seguridad. Pero, de hecho, se puede
llegar a un compromiso: se puede requerir que los usuarios de cuentas de altos privilegios o
confidenciales, como administradores de dominio y ejecutivos, se autentiquen con tarjetas
inteligentes. El comit directivo de seguridad toma la decisin final de seguir la recomendacin del
equipo de administracin de riesgos de seguridad: no se requieren tarjetas inteligentes para todos
los empleados.
Una variacin de la aceptacin del riesgo es la transferencia del mismo a un tercero. Las plizas de
seguro para los activos de TI estn empezando a estar disponibles. Como alternativa, las
organizaciones pueden contratar a otras empresas especializadas en los servicios de seguridad
administrada; el subcontratista puede asumir toda o parte de la responsabilidad de proteger los
activos de TI de la organizacin.
Implementacin de controles para reducir el riesgo

Los controles, que en ocasiones se denominan contramedidas o protecciones, son medios
organizativos, de procedimiento o tcnicos de administrar los riesgos. Los responsables de
mitigacin, con el apoyo del equipo de administracin de riesgos de seguridad, identifican todos los
posibles controles, calculan el costo de la implementacin de cada control, determinan el resto de
los costos relacionados con el control (como las molestias a los usuarios o el costo del
mantenimiento continuo del control) y evalan la reduccin del nivel de riesgo posible con cada
control. Toda esta informacin permite que el equipo lleve a cabo un anlisis de costo-beneficio para
cada control propuesto. Los controles que reduzcan con ms eficacia el riesgo para los activos clave
a un costo razonable para la organizacin son los controles cuya implementacin el equipo
recomendar con ms entusiasmo.
Claves para el xito

De forma similar a la fase de evaluacin de riesgos, la definicin de unas expectativas razonables es
fundamental si se desea que la fase de apoyo a la toma de decisiones tenga xito. El apoyo a la
toma de decisiones requiere aportaciones importantes de distintos grupos que representan a toda la
empresa. Si alguno de estos grupos no comprende o participa activamente en el proceso, la eficacia
de todo el programa puede estar en peligro. Asegrese de explicar de forma clara lo que se espera
de cada participante durante la fase de apoyo a la toma de decisiones, incluidas las funciones, las
responsabilidades y el grado de participacin.
Creacin de consenso
Es importante que todo el equipo de administracin de riesgos de seguridad tome decisiones por
consenso en la medida de lo posible; sin l, los comentarios de los miembros en contra pueden
socavar las recomendaciones despus de que el equipo las presente al comit directivo de
seguridad. Aunque el comit apruebe los controles recomendados, la oposicin subyacente puede
provocar que los proyectos de implementacin de controles de seguimiento no se apliquen. Para que
tenga xito todo el proceso de administracin de riesgos, todos los miembros del equipo deben
estar de acuerdo y apoyar los controles recomendados.
Evitar las maniobras obstruccionistas

Dado que uno de los objetivos de esta fase es crear, mediante consenso, una lista de controles,
cualquier participante puede ralentizar o detener el progreso mediante una maniobra
obstruccionista. Es decir, cualquier persona que participe en la fase de apoyo a la toma de
decisiones puede decidir que no est de acuerdo en recomendar un determinado control. Por otro
lado, alguien puede intentar imponer su particular punto de vista a la mayora si est amenazada la
recomendacin de cierto control. Es muy importante que el responsable de evaluacin de riesgos
resuelva las situaciones de obstruccionismo cuando se produzca. Queda fuera del alcance de esta
gua las recomendaciones exhaustivas acerca de cmo afrontar este tipo de situaciones, pero una
tctica eficaz sera determinar los motivos clave del punto de vista de dicha persona y trabajar con
el equipo para encontrar alternativas eficaces o compromisos que todo el equipo considere
aceptables.
Identificacin y comparacin de controles

En esta seccin se explica el modo en que el responsable de mitigacin identifica las posibles
soluciones de control y determina los tipos de costos asociados a cada control propuesto y cmo el
equipo de administracin de riesgos de seguridad estima la reduccin de nivel de riesgo que cada
control propuesto proporciona. Los responsables de mitigacin y el equipo de administracin de
riesgos de seguridad presentan sus resultados y soluciones recomendadas al comit directivo de
seguridad para que se pueda seleccionar una lista final de soluciones de control para su
implementacin.
En el siguiente diagrama se ofrece un extracto de la hoja de trabajo Riesgo detallado de la hoja de
clculo de Excel que se ha utilizado para realizar la evaluacin detallada de los riesgos en el captulo
anterior. Esta hoja de trabajo, GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls, se incluye en esta gua y se encuentra en la carpeta Herramientas y plantillas. En el
diagrama se muestran todos los elementos empleados durante el anlisis de costo-beneficio. En los
pasos siguientes se describe cada columna.
Figura 5.3 Seccin de apoyo a la toma de decisiones de la hoja de trabajo Riesgo detallado
(GARSHerramienta3)
Nota: la hoja de trabajo se centra en la reduccin de la probabilidad de repercusiones al determinar
la reduccin del nivel de riesgo. Se supone que el valor del activo no cambia en el perodo de tiempo
de la evaluacin de riesgos. Normalmente, el nivel de exposicin (alcance de daos en el activo)
permanece constante. La experiencia demuestra que los niveles de exposicin normalmente no
cambian si las descripciones de amenaza y de vulnerabilidad se especifican lo suficientemente
detalladas.
Paso 1: Definir los requisitos funcionales

Los requisitos de seguridad funcionales son declaraciones que describen los controles necesarios
para mitigar el riesgo. El trmino "funcional" es importante: los controles se deben describir segn
las funciones deseadas en oposicin a las tecnologas especificadas. Pueden ser posibles soluciones
tcnicas alternativas y cualquier resolucin es aceptable si cumple los requisitos de seguridad
funcionales. El equipo de administracin de riesgos de seguridad es el encargado de definir los
requisitos funcionales, el primer resultado del proceso del anlisis de costo-beneficio. Para
identificar correctamente los posibles controles, el equipo de administracin de riesgos de seguridad
tiene que definir lo que los controles deben realizar para reducir el riesgo para la empresa. Aunque
el equipo conserva la responsabilidad, es muy recomendable la colaboracin con el responsable de
la solucin de mitigacin.
Los requisitos funcionales se deben definir para cada riesgo descrito en el proceso de apoyo a la
toma de decisiones; el resultado generado se denomina "Definiciones de requisitos funcionales". La
definicin y la responsabilidad del requisito funcional resultan muy importantes para el proceso de
costo-beneficio. El documento define lo que se tiene que producir para reducir el riesgo pero no
especifica cmo se debe reducir ni define controles especficos. Esta distincin concede al equipo de
administracin de riesgos de seguridad la responsabilidad en su rea a la vez que tambin permite
que el responsable de mitigacin, que implementa la solucin de mitigacin, tome decisiones
relacionadas con la ejecucin y el soporte de la empresa. Las respuestas a cada riesgo se
documentan en la columna etiquetada "Requisito de seguridad funcional" de GARSHerramienta3-
Asignacin de prioridades a los riesgos de nivel detallado.xls. Los requisitos funcionales se deben
revisar una vez al ao como mnimo para determinar si continan siendo necesarios o se deben
modificar.
Figura 5.4 Paso 1 de la fase de apoyo a la toma de decisiones
El trabajo realizado en la fase anterior permite a las organizaciones comprender sus situaciones de
riesgo y determinar de un modo racional los controles que se deben implementar para reducir los
riesgos ms importantes. El patrocinador ejecutivo y los responsables de negocios desean saber lo
que piensa el grupo de seguridad de informacin que debe hacer la organizacin ante cada riesgo.
El grupo de seguridad de informacin atiende esta demanda mediante la creacin de requisitos de
seguridad funcionales. Por cada riesgo, el grupo de seguridad de informacin elabora una
declaracin clara del tipo de funcionalidad o proceso que se tiene que introducir para mitigar el
riesgo.
Ejemplo de Woodgrove: a partir del ejemplo de Woodgrove Bank utilizado en el captulo anterior,
se elabora un requisito funcional til para el riesgo de robo de credenciales de un cliente de red de
rea local (LAN) administrado debido a una configuracin obsoleta de las firmas antivirus,
configuraciones de host o revisiones de seguridad obsoletas:
DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores
cuando inicien sesin en la red local.
Un ejemplo de un requisito que no es funcional lo constituye lo siguiente:
La solucin DEBE utilizar tarjetas inteligentes para autenticar los usuarios.
La segunda declaracin no es funcional porque describe el uso de una tecnologa especfica.
Corresponde a los responsables de mitigacin proporcionar a una lista de soluciones de control
especficas que cumplan los requisitos funcionales; es decir, traducen los requisitos funcionales en
soluciones de control tcnico y/o controles administrativos (directiva, estndares, directrices, etc.).
El requisito funcional para el segundo riesgo examinado durante el paso de asignacin de
prioridades a los riesgos de nivel detallado, el riesgo de robo de credenciales de hosts mviles
remotos como resultado de una configuracin de seguridad obsoleta:
DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores
cuando inicien sesin en la red de forma remota.
Registre los requisitos funcionales de cada riesgo en la columna Requisitos de seguridad funcionales
de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls.
En el documento 2119 de Request for Comments (RFC) de Internet Engineering Task Force (IETF),
disponible en www.ietf.org/rfc/rfc2119.txt, se proporciona orientacin acerca de las palabras o
frases clave que se deben emplear en las declaraciones de requisitos. Dichos trminos, que
normalmente aparecen en maysculas, son "SE TIENE QUE", "NO SE TIENE QUE", "OBLIGATORIO",
"SE TENDR QUE", "NO SE TENDR QUE", "SE DEBE", "NO SE DEBE", "RECOMENDADO", "PUEDE" y
"OPCIONAL". Microsoft recomienda utilizar estas frases clave en las declaraciones de requisitos
funcionales segn las definiciones proporcionadas en el documento RFC 2119:
SE TIENE QUE: este trmino, junto con "OBLIGATORIO" o "SE TENDR QUE", significa que la
definicin es un requisito absoluto de la especificacin. Por ejemplo, si en la evaluacin de riesgos

se identifica un escenario de alto riesgo, probablemente el trmino "SE TIENE QUE" constituye la
mejor descripcin mediante palabra clave para el requisito que soluciona dicho escenario.
NO SE TIENE QUE: este trmino, o "NO SE TENDR QUE", significa que la definicin es una
prohibicin absoluta de la especificacin.

SE DEBE: este trmino, o el adjetivo "RECOMENDADO", significa que pueden existir motivos
vlidos en determinadas circunstancias para omitir un determinado elemento, pero que se deben
comprender y sopesar atentamente las implicaciones completas antes de elegir una accin
distinta. Por ejemplo, si en la evaluacin de riesgos se identifica un escenario de bajo riesgo, el
trmino "SE DEBE" constituye la mejor descripcin mediante palabra clave para el requisito que
soluciona dicho escenario.
NO SE DEBE: este trmino, o "NO RECOMENDADO", significa que pueden existir motivos vlidos
en determinadas circunstancias cuando el comportamiento concreto es aceptable o, incluso, til,

pero que se deben comprender las implicaciones completas y el caso se debe analizar
cuidadosamente antes de implementar un comportamiento descrito con esta etiqueta.
PUEDE: esta palabra, o el adjetivo "OPCIONAL", significa que un elemento es totalmente
opcional. Un proveedor puede optar por incluir el elemento porque un determinado mercado lo
requiere o porque piensa que mejora el producto, mientras que otro proveedor puede omitir el
mismo elemento. Una implementacin que no incluya una determinada opcin TIENE QUE estar
preparada para interoperar con otra implementacin que s la incluya, aunque tal vez con
funcionalidad reducida. En el mismo sentido, una implementacin que incluya una determinada
opcin TIENE QUE estar preparada para interoperar con otra implementacin que no la incluya (a
excepcin, como es lgico, de la caracterstica que proporciona la opcin).
Despus de haber definido y documentado los requisitos funcionales para cada riesgo, puede ir al
siguiente paso de la fase de apoyo a la toma de decisiones.
Paso 2: Identificar las soluciones de control

En el siguiente paso de esta fase corresponde a los responsables de mitigacin elaborar una lista de
nuevos posibles controles para cada riesgo que cumplan los requisitos funcionales del mismo. En
muchas organizaciones, los miembros del grupo de seguridad de informacin podrn colaborar
mediante la identificacin de una serie de posibles controles para cada riesgo identificado y
caracterizado durante la fase anterior. Las organizaciones que no dispongan de suficientes
especialistas internos para este fin pueden complementar la labor de los responsables de mitigacin
con consultores.

El proceso de identificar los posibles controles puede parecer complejo, sobre todo si ninguno de los
responsables de mitigacin, o slo algunos, no lo han hecho anteriormente. Existen dos enfoques
que pueden ayudar a los equipos a pensar en nuevas ideas; muchas organizaciones consideran que
resulta ms eficaz utilizar ambos. El primero es un enfoque de lluvia de ideas informal; el segundo
es ms organizado y est basado en el modo en que los controles se pueden clasificar y organizar.
El equipo de administracin de riesgos de seguridad debe utilizar una combinacin de estos dos
enfoques.
En el enfoque de lluvia de ideas, el responsable de evaluacin de riesgos expone la siguiente serie
de preguntas al equipo por cada riesgo. El responsable de registro de evaluacin de riesgos
documenta todas las respuestas en la columna etiquetada "Control propuesto" de la hoja de trabajo
Riesgo detallado de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls. Este proceso contina hasta que todos los riesgos principales se han examinado y el
equipo pasa a determinar los costos asociados a cada control.
Qu medidas debe adoptar la organizacin para resistir o impedir la aparicin del riesgo? Por
ejemplo, implementar la autenticacin de varios factores para reducir el riesgo de que peligren
las contraseas o implementar una infraestructura de administracin de revisiones automatizada
para reducir el riesgo de que los sistemas se pongan en peligro debido a cdigo mvil
malintencionado.
Qu puede hacer la organizacin para recuperarse de un riesgo una vez se ha detectado? Por
ejemplo, establecer, destinar fondos y formar un equipo de respuesta a incidencias o implementar

y probar los procesos de copia de seguridad y restauracin para todos los equipos que ejecutan
un sistema operativo de servidor. Es ms, una organizacin puede establecer recursos
informticos redundantes en ubicaciones remotas que se pueden poner en servicio si se produce
un desastre en el sitio principal.
Qu medidas puede adoptar la organizacin para detectar la aparicin del riesgo? Por ejemplo,
instalar un sistema de deteccin de intrusiones basado en red en el permetro de la red y en las

ubicaciones clave de la red interna, o instalar un sistema de deteccin de intrusiones distribuido y
basado en host en todos los equipos de la organizacin.
Cmo se puede auditar y supervisar el control para garantizar que se contina aplicando? Por
ejemplo, instalar y observar detalladamente las herramientas de administracin adecuadas del

proveedor del producto.
Cmo puede la organizacin validar la eficacia del control? Por ejemplo, disponer de un
especialista familiarizado con el intento de vulnerabilidad para saltarse el control.

Existen otras acciones que se pueden llevar a cabo para afrontarlo? Por ejemplo, transferir el
riesgo mediante la adquisicin de un seguro que indemnice por las prdidas relacionadas con
dicho riesgo.
El segundo mtodo para identificar los nuevos posibles controles los organiza en tres categoras
extensas: organizativa, operativa y tecnolgica. stos se subdividen en controles que proporcionan
prevencin, deteccin y recuperacin, as como administracin. Los controles preventivos se
implementan para impedir que se materialice un riesgo; por ejemplo, detienen las infracciones
antes de que se produzcan. Los controles de deteccin y recuperacin ayudan a la organizacin a
determinar cundo se ha producido un suceso de seguridad y para reanudar las operaciones
normales posteriormente. Los controles de administracin no proporcionan necesariamente
proteccin por s mismos, pero son necesarios para implementar otros controles. A continuacin se
describen estas categoras con ms detalle.
Controles organizativos
Los controles organizativos son procedimientos y procesos que definen el modo en que las personas
de la organizacin deben llevar a cabo sus tareas.
Los controles preventivos de esta categora son:
Funciones y responsabilidades claras. Deben estar definidas y documentadas de forma clara para
que los directivos y el personal comprendan sin posibilidad de dudas quin es el responsable de
garantizar que se implementa un nivel de seguridad adecuado para los activos de TI ms
importantes.
Separacin de responsabilidades y privilegios mnimos. Si se implementan correctamente,
garantizan que las personas slo dispondrn del acceso suficiente a los sistemas de TI para
desempear sus tareas eficazmente y no ms.
Planes y procedimientos de seguridad documentados. Se desarrollan para explicar el modo en
que los controles se han implementado y cmo se deben mantener.

Cursos de seguridad y campaas de toma de concienciacin continuas. Esto resulta necesario
para todos los miembros de la organizacin para que los usuarios y los miembros del equipo de
TI comprendan sus responsabilidades y el modo de utilizar correctamente los recursos
informticos a la vez que se protegen los datos de la organizacin.
Sistemas y procesos para crear y eliminar usuarios. Estos controles son necesarios para que los
nuevos miembros de la organizacin puedan ser productivos rpidamente y para que el personal
que abandona la empresa pierda el acceso inmediatamente al marcharse. Los procesos de
creacin tambin deben incluir transferencias de empleados de los grupos de la empresa donde
los privilegios y el acceso cambien de un nivel a otro. Por ejemplo, los funcionarios que cambian
de puesto y las clasificaciones de seguridad de Secreto a Confidencial, o viceversa.
Procesos establecidos para conceder acceso a contratistas, proveedores, socios y clientes.
Normalmente es una variacin de la creacin de usuarios mencionada anteriormente, pero, en

muchos casos, es muy distinta. Compartir datos con un grupo de usuarios externos y compartir
un conjunto de datos distinto con otro grupo puede resultar complejo. Normalmente los
requisitos legales y normativos influyen en las opciones, por ejemplo cuando se trata de datos
sanitarios o financieros.
Los controles de deteccin de esta categora son:
Realizar programas continuos de administracin de riesgos para evaluar y controlar los riesgos de
los activos clave de la organizacin.

Llevar a cabo revisiones peridicas de los controles para comprobar su eficacia.
Efectuar peridicamente auditoras del sistema para garantizar que los sistemas no se han puesto
en peligro o se han configurado incorrectamente.

Realizar investigaciones de antecedentes de los posibles candidatos a puestos de trabajo. Debe
contemplar la posibilidad de implementar investigaciones de antecedentes adicionales de los

empleados propuestos para ascensos a puestos con un mayor nivel de acceso a los activos de TI
de la organizacin.
Establecer una rotacin de responsabilidades, que es una forma eficaz de descubrir actividades
malintencionadas de miembros del equipo de TI o de usuarios con acceso a informacin

confidencial.
Los controles de administracin de esta categora son:
Planeamiento de la respuesta a incidencias, que proporciona a la organizacin la capacidad de
reaccionar y de recuperarse rpidamente de las infracciones de seguridad a la vez que se reduce

su efecto y se impide la propagacin de la incidencia a otros sistemas.
Planeamiento de la continuidad de la empresa, que permite que la organizacin se recupere de
sucesos catastrficos que afectan a una gran parte de la infraestructura de TI.
Controles operativos
Los controles operativos definen el modo en que las personas de la organizacin deben tratar los
datos, el software y el hardware. Tambin incluyen protecciones ambientales y fsicas, segn se
describe a continuacin.
Proteccin de las instalaciones informticas con medios fsicos como barreras, dispositivos y
bloqueos electrnicos, bloqueos biomtricos y vallas.

Proteccin fsica de los sistemas de los usuarios finales, incluidos dispositivos como bloqueos y
alarmas de equipos mviles y cifrado de los archivos almacenados en los dispositivos mviles.
Fuente de alimentacin de reserva para emergencias, que puede impedir que los sistemas
elctricos sensibles se daen durante cortes de suministro elctrico y apagones; tambin pueden
garantizar que las aplicaciones y los sistemas operativos se cierran correctamente para conservar
los datos y las transacciones.
Sistemas contra incendios, como sistemas de extincin de incendios automticos y extintores,
que constituyen herramientas fundamentales para proteger los activos clave de la organizacin.
Sistemas de control de temperatura y de humedad que prolongan la duracin de los equipos
elctricos sensibles y ayudan a proteger los datos almacenados en ellos.

Control de acceso a medios y procedimientos de eliminacin para garantizar que slo el personal
autorizado tiene acceso a informacin confidencial y que los medios empleados para almacenar
dichos datos no quedan legibles mediante desmagnetizacin u otros mtodos antes de la
eliminacin.
Sistemas de copia de seguridad y disposiciones para el almacenamiento de las copias de
seguridad fuera de las instalaciones con el fin de facilitar la restauracin de los datos perdidos o
daados. Si se produce una incidencia catastrfica, los medios de copia de seguridad
almacenados fuera de las instalaciones permiten almacenar los datos cruciales para el negocio en
los sistemas de reemplazo.
Los controles de deteccin y recuperacin de esta categora son:
Seguridad fsica, que protege a la organizacin de atacantes que intenten obtener acceso a sus
instalaciones; algunos ejemplos son: sensores, alarmas, cmaras y detectores de movimiento.

Seguridad ambiental, que protegen a la organizacin de amenazas ambientales como
inundaciones e incendios; algunos ejemplos son: detectores de humo y fuego, alarmas, sensores
y detectores de inundaciones.
Controles de tecnologa
Los controles de tecnologa varan considerablemente en cuanto a su complejidad. Incluyen: diseo
de la arquitectura del sistema, ingeniera, hardware, software y firmware. Todos son componentes
de tecnologa que se utilizan para crear los sistemas de informacin de una organizacin.
Autenticacin. Proceso de validar las credenciales de una persona, proceso de equipo o
dispositivo. En la autenticacin se requiere que la persona, el proceso o el dispositivo que efecta

la solicitud proporcione una credencial que demuestre que es quien dice ser. Las formas
habituales de las credenciales son las firmas digitales, las tarjetas inteligentes, los datos
biomtricos y una combinacin de nombres de usuario y contraseas.
Autorizacin. Proceso de conceder a una persona, proceso de equipo o dispositivo acceso a
determinada informacin, servicios o funcionalidad. La autorizacin se deriva de la identidad de la

persona, proceso de equipo o dispositivo que solicita el acceso, que se comprueba mediante
autenticacin.
No rechazo. Tcnica empleada para garantizar que quien realiza una accin en un equipo no
pueda negar falsamente que ha realizado dicha accin. El no rechazo proporciona una prueba
innegable de que un usuario ha realizado una accin especfica, como transferir dinero, autorizar
una compra o enviar un mensaje.
Control de acceso. Mecanismo para limitar el acceso a determinada informacin en funcin de la
identidad de un usuario y su pertenencia a varios grupos predefinidos. El control de acceso puede

ser obligatorio, discrecional o basado en funciones.
Comunicaciones protegidas. Estos controles utilizan el cifrado para proteger la integridad y la
confidencialidad de la informacin transmitida por las redes.

Los controles de deteccin y recuperacin de esta categora son:
Sistemas de auditora. Permiten supervisar y realizar el seguimiento del comportamiento del
sistema que se aparte de las normas previstas. Constituyen una herramienta fundamental para
detectar, comprender y recuperarse de infracciones de seguridad.
Programas antivirus. Diseados para detectar y responder a software malintencionado, como
virus y gusanos. Las respuestas pueden ser el bloqueo del acceso de usuario a los archivos
infectados, la limpieza de los archivos o sistemas infectados o la notificacin al usuario de que se
ha detectado un programa infectado.
Herramientas de integridad del sistema. Permiten que el personal de TI determine si se han
efectuado cambios no autorizados en un sistema. Por ejemplo, algunas herramientas de

integridad del sistema calculan una suma de comprobacin para todos los archivos que se
encuentran en los volmenes de almacenamiento del sistema y almacenan la informacin en una
base de datos en otro equipo. La comparacin entre el estado actual de un sistema y su
configuracin vlida conocida anteriormente se puede llevar a cabo de un modo confiable y
automatizado con una herramienta de este tipo.
Los controles de administracin de esta categora son:
Herramientas de administracin de seguridad incluidas en numerosos sistemas operativos
informticos y aplicaciones de negocios as como en productos de hardware y software orientados

a la seguridad. Estas herramientas son necesarias para mantener, dar soporte y solucionar
problemas de caractersticas de seguridad de un modo eficaz en todos estos productos.
Criptografa, que es la base de muchos otros controles de seguridad. La creacin, el
almacenamiento y la distribucin seguros de las claves de cifrado permiten tecnologas como

redes privadas virtuales (VPN), autenticacin de usuarios segura y cifrado de datos en distintos
tipos de medios de almacenamiento.
Identificacin, que proporciona la capacidad de identificar usuarios y procesos nicos. Gracias a
esta capacidad, los sistemas pueden incluir caractersticas como responsabilidad, control de
acceso discrecional, control de acceso basado en funciones y control de acceso obligatorio.
Protecciones inherentes al sistema, que son caractersticas diseadas en el sistema para proteger
la informacin procesada o almacenada en dicho sistema. Se ha demostrado que la reutilizacin

segura de objetos, la compatibilidad con memoria de no ejecucin (NX) y la separacin de
procesos son caractersticas de proteccin del sistema.
Cuando evale las soluciones de control, tambin puede resultar til que consulte la seccin
"Organizacin de las soluciones de control" del captulo 6, "Implementacin de controles y medicin
de la efectividad del programa". En esta seccin se incluyen vnculos a orientacin normativa escrita
para ayudar a las organizaciones a aumentar la seguridad de sus sistemas de informacin.
Ejemplo de Woodgrove: el primer riesgo, el de que las credenciales del usuario asesor financiero
se puedan robar durante el inicio de sesin en la LAN, si se puede solucionar si se les pide a los
usuarios que se autentiquen con tarjetas inteligentes al conectarse localmente a la red corporativa.
El segundo riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante
el inicio de sesin en la red de forma remota, se puede solucionar si se les pide a todos los usuarios
que se autentiquen con tarjetas inteligentes al conectarse de forma remota a la red corporativa.
Registre cada uno de los controles propuestos para cada riesgo en la columna "Control propuesto"
de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls.
Paso 3: Revisar la solucin segn los requisitos
El equipo de administracin de riesgos de seguridad debe aprobar la solucin de control para
garantizar que el control cumple los requisitos funcionales definidos. Otra ventaja de la colaboracin
en los procesos de costo-beneficio reside en la capacidad de anticipar las comprobaciones y los
balances inherentes al proceso; por ejemplo, si el responsable de mitigacin est incluido en la
definicin de requisitos de seguridad, normalmente la solucin cumplir los requisitos. Los controles
que no cumplan los requisitos funcionales para un riesgo especfico se quitan de la hoja de trabajo
Riesgo detallado.

Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad ha comparado el uso
de tarjetas inteligentes para la autenticacin de usuario con el fin de determinar si su
implementacin cumple los requisitos funcionales. En este caso, las tarjetas inteligentes cumplen los
requisitos funcionales de los dos riesgos de este ejemplo. Marque cada uno de los controles
rechazados con un formato distinto en GARSHerramienta3-Asignacin de prioridades a los riesgos
de nivel detallado.xls.
Paso 4: Estimar la reduccin del riesgo

Despus de que el equipo de administracin de riesgos de seguridad apruebe la mitigacin posible,
debe volver a calcular la reduccin de riesgo global para la empresa. La cantidad de reduccin de
riesgo se comparar con el costo de la solucin de mitigacin. ste es el primer paso en el que el
importe econmico puede proporcionar valor al anlisis de costo-beneficio. La experiencia
demuestra que la reduccin de riesgo normalmente se estima ampliando la probabilidad del efecto a
la empresa. Recuerde que cada clasificacin de probabilidad (alta, media o baja) tiene un intervalo
de tiempo previsto en el que es probable que se produzca el ataque.
La ampliacin de la estimacin de posibilidad de ataque de un ao a ms de tres proporciona un
valor importante al equipo de administracin de riesgos de seguridad y al comit directivo de
seguridad. Aunque puede que la estimacin de prdida financiera no se reduzca, es menos probable
que la prdida se produzca en un futuro prximo. Es importante tener presente que el objetivo no
es reducir el efecto a cero, sino definir un nivel de riesgo aceptable para la empresa.
Otra ventaja de reducir el riesgo a corto plazo est relacionada con la tendencia comn de los
costos de controles tcnicos a disminuir con el tiempo y a aumentar su eficacia. Por ejemplo, una
mejora en la estrategia actual de administracin de revisiones puede reducir considerablemente la
probabilidad de riesgos de host hoy en da. Sin embargo, el costo de implementar revisiones y
actualizaciones de seguridad puede disminuir a medida que estn disponibles nuevas orientaciones
y herramientas para administrar de forma eficaz estas operaciones. La reduccin de los costos
mediante la autenticacin de dos factores ofrece otro ejemplo de esta tendencia.
Al determinar el grado relativo de reduccin de riesgo de un control asegrese de contemplar todas
las formas en que el control puede afrontar el riesgo. Entre las preguntas que se deben plantear se
incluyen:
El control previene un ataque especfico o un conjunto de ataques?
Minimiza el riesgo de una determinada clase de ataques?
El control reconoce una vulnerabilidad mientras se est produciendo?
Si reconoce una debilidad, puede resistir el ataque o realizar un seguimiento del mismo?
El control ayuda a recuperar los activos que han sufrido un ataque?
Qu otras ventajas ofrece?
Cul es el costo total del control en relacin con el valor del activo?
Estas preguntas pueden resultar complejas cuando un determinado control afecta a varias
vulnerabilidades y activos. Por ltimo, el objetivo de este paso es realizar la estimacin de la
reduccin de los niveles de riesgo que efecta cada control. Registre los nuevos valores de
Clasificacin de exposicin, Clasificacin de probabilidad y Clasificacin de riesgo en las columnas
etiquetadas "Clasificacin de exposicin con el nuevo control", "Clasificacin de probabilidad con el
nuevo control" y "Nueva clasificacin de riesgo" de GARSHerramienta3-Asignacin de prioridades a
los riesgos de nivel detallado.xls para cada riesgo.
Ejemplo de Woodgrove: en relacin con el primer riesgo, el de que se pongan en peligro las
contraseas de los asesores financieros mientras utilizan clientes de LAN, el equipo de
administracin de riesgos de seguridad puede llegar a la conclusin de que la clasificacin de
exposicin despus de implementar tarjetas inteligentes para la autenticacin local sera de 8, la
clasificacin de probabilidad bajara a 1 y, por lo tanto, la nueva clasificacin de riesgo sera de 9.
Para el segundo riesgo, el de que se pongan en peligro las contraseas de los asesores financieros
al acceder a la red de forma remota, el equipo de administracin de riesgos de seguridad
encontrara valores similares. Registre las nuevas clasificaciones de exposicin, probabilidad y riesgo
para cada control propuesto en las columnas "Clasificacin de exposicin con el nuevo control",
"Clasificacin de probabilidad con el nuevo control" y "Nueva clasificacin de riesgo" de la hoja de
trabajo Riesgo detallado de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls.
Paso 5: Estimar el costo de la solucin

En la siguiente tarea de esta fase corresponde al responsable de mitigacin estimar el costo relativo
de cada control propuesto. El equipo de ingeniera de TI debe poder determinar el modo de
implementar cada control y proporcionar estimaciones razonablemente precisas acerca de lo que
costar la adquisicin, la implementacin y el mantenimiento de cada uno. Debido a que el proceso
de administracin de riesgos de seguridad de Microsoft implica un proceso de administracin de
riesgos hbrido, no es necesario calcular los costos precisos, basta con unas estimaciones. Durante
el anlisis de costo-beneficio, se compararn los valores y los costos relativos de cada control en
vez de las cifras financieras absolutas. Cuando el equipo cree estas estimaciones, debe tener en
cuenta todos los gastos directos e indirectos que puedan estar asociados a un control. Registre los
costos de cada control en la columna etiquetada "Costo de descripcin de controles" de
GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls.

Costos de adquisicin
Estos costos abarcan el software, el hardware o los servicios relacionados con un nuevo control
propuesto. Puede que algunos controles no tengan costos de adquisicin; por ejemplo, la
implementacin de un nuevo control puede implicar nicamente la habilitacin de una caracterstica
no utilizada anteriormente en un elemento de hardware de red que ya utiliza la organizacin. Otros
controles pueden requerir la compra de nuevas tecnologas, como software de servidor de seguridad
distribuido o hardware de servidor de seguridad dedicado con capacidad de filtrado de niveles de
aplicacin. Algunos controles pueden no requerir que se compre nada sino que se contrate a otra
organizacin. Por ejemplo, una organizacin puede contratar a otra empresa para que le
proporcione una lista de bloqueo de sistemas de envo de correo no deseado conocidos que se
actualice diariamente para poderla aprovechar en sus filtros de correo no deseado que ya estn
instalados en los servidores de correo de la organizacin. Puede haber otros controles que la
organizacin decida desarrollar por su cuenta; todos los costos relacionados con el diseo, el
desarrollo y la prueba de los controles formaran parte de los controles de adquisicin de la
organizacin.
Costos de implementacin
Estos gastos estn relacionados con el personal o los consultores que instalarn y configurarn el
nuevo control propuesto. Algunos controles pueden requerir que un equipo grande los especifique,
disee, pruebe e implemente correctamente. Un administrador de sistemas experto tambin puede
deshabilitar los servicios de sistema no utilizados en todos los equipos de escritorio y mviles en
pocos minutos si la organizacin ya ha implementado herramientas de administracin empresarial.
Costos continuos
Estos costos estn relacionados con las actividades continuas asociadas al nuevo control, como la
administracin, la supervisin y el mantenimiento. Pueden parecer bastante difciles de estimar, por
lo que intente considerarlos en relacin con la cantidad de personas que tienen que participar y el
tiempo que cada semana (mes o ao) se necesita dedicar a estas tareas. Piense en un sistema de
deteccin de intrusin basado en red slido y distribuido para una gran empresa con oficinas en
cuatro continentes. Dicho sistema requiere personas que lo supervisen las 24 horas del da, todos
los das, y deben poder interpretar y responder a las alertas eficazmente. Se pueden necesitar ocho
o diez (tal vez ms) empleados a tiempo completo para que la organizacin desarrolle totalmente el
potencial de este control complejo.
Costos de comunicaciones
Este gasto est relacionado con la notificacin de nuevas directivas o procedimientos a los usuarios.
Para una organizacin con unos cientos de empleados que instale bloqueos electrnicos para su sala
de servidores, puede ser suficiente con enviar unos cuantos mensajes de correo electrnico al
personal de TI y directores jefe. Pero una organizacin que, por ejemplo, implemente tarjetas
inteligentes necesitar establecer muchas comunicaciones antes, durante y despus de la
distribucin de las tarjetas inteligentes y los lectores, debido a que los usuarios tendrn que
aprender una nueva forma de iniciar sesin en sus equipos y, sin duda alguna, se producirn
numerosas situaciones nuevas o inesperadas.
Costos de cursos para el personal de TI

Estos costos estn asociados al personal de TI que tenga que implementar, administrar, supervisar y
realizar el mantenimiento del nuevo control. Considere el ejemplo anterior de la organizacin que ha
decidido implementar tarjetas inteligentes. Distintos equipos de la organizacin de TI tendrn
diferentes responsabilidades y, por lo tanto, precisarn distintos tipos de cursos. El personal del
servicio de asistencia tendr que saber cmo ofrecer ayuda a los usuarios finales a superar
problemas habituales, como tarjetas o lectores daados y nmeros de identificacin personal
olvidados. El personal del servicio de asistencia tendr que saber cmo instalar, solucionar
problemas, diagnosticar y reemplazar los lectores de tarjetas inteligentes. Un equipo de la
organizacin de TI, otro del departamento de recursos humanos o quizs otro del departamento de
seguridad fsica de la organizacin sern los responsables de proporcionar las tarjetas nuevas y de
reemplazo, as como de recuperar las tarjetas de los empleados que se marchen.
Costos de cursos para los usuarios

Este gasto est relacionado con los usuarios que tengan que incorporar un nuevo comportamiento
para trabajar con el nuevo control. En el escenario de las tarjetas inteligentes mencionado
anteriormente, todos los usuarios tendrn que comprender el uso de las tarjetas inteligentes y de
los lectores, as como el cuidado correcto de las tarjetas, ya que la mayora de los diseos son ms
sensibles a situaciones extremas fsicas que las tarjetas de crdito o las bancarias.
Costos para la productividad y la comodidad

Estos gastos estn asociados a los usuarios cuyo trabajo se ver afectado por el nuevo control. En
el escenario de las tarjetas inteligentes, se puede suponer que todo resultar ms sencillo para una
organizacin despus de las primeras semanas y meses de la implementacin de las tarjetas y de
los lectores y de ayudar a los usuarios a superar los problemas iniciales. Pero para la mayora de las
organizaciones no sucede as. Por ejemplo, muchas descubrirn que las aplicaciones existentes no
son compatibles con las tarjetas inteligentes. En algunos casos esto puede no ser importante, pero
qu sucede con las herramientas que el departamento de recursos humanos utiliza para
administrar la informacin confidencial de los empleados? O con el software de administracin de
relaciones con el cliente que se utiliza en toda la organizacin para realizar el seguimiento de los
datos importantes de todos los clientes?
Si existen aplicaciones de negocios fundamentales como las anteriores que no son compatibles con
las tarjetas inteligentes y estn configuradas para requerir autenticacin de usuario, es posible que
la organizacin se deba enfrentar a una situacin difcil. Puede actualizar el software, lo que
requerir todava ms costos para nuevas licencias, la implementacin y los cursos. O puede
deshabilitar las caractersticas de autenticacin, pero se reducira la seguridad de forma
considerable. Tambin puede requerir que los usuarios introduzcan nombres de usuario y
contraseas al tener acceso a dichas aplicaciones, pero, de nuevo, los usuarios tendran que
recordar contraseas, lo que socava una de las ventajas clave de las tarjetas inteligentes.
Costos de auditora y comprobacin de eficacia

Una organizacin puede afrontar estos gastos despus de implementar el nuevo control propuesto.
Algunos ejemplos de las preguntas que se puede plantear para definir an ms estos controles son:
Cmo se garantizar que el control realmente hace lo que se supone que debe hacer?
Realizarn algunos miembros de la organizacin de TI pruebas de penetracin?

Ejecutarn muestras de cdigo malintencionado en el activo que se supone que debe proteger el
control?
Despus de validar la eficacia del control, cmo comprobar la organizacin de forma continuada
que el control se sigue aplicando?

La organizacin debe poder probar que nadie ha modificado o deshabilitado el control de forma
accidental o malintencionada y debe determinar a quin se encargar dicha comprobacin. Para los
activos muy confidenciales, puede ser necesario que varias personas validen los resultados.
Ejemplo de Woodgrove: en las tablas 5.3 y 5.4 siguientes los responsables de mitigacin han
determinado los costos de los riesgos. Registre las estimaciones de costos para cada control
propuesto en la columna "Costo de descripcin de controles" de GARSHerramienta3-Asignacin de
prioridades a los riesgos de nivel detallado.xls.
Tabla 5.3: Costos de implementacin de tarjetas inteligentes para VPN y el acceso
administrativo
Categora Notas Estimaciones
Costos de El costo por tarjeta inteligente es de 15 dlares y por lector 300.000 dlares
adquisicin tambin es de 15 dlares. Slo 10.000 empleados del banco
necesitan funciones de red privada virtual (VPN) o acceso
administrativo, por lo que el costo total de tarjetas y lectores
ser de 300.000 dlares.
Costos de El banco contratar a una empresa de consultora para que le 900.000 dlares
implementacin ayude a implementar la solucin con un costo de 750.000
dlares. No obstante, habr costos considerables por el tiempo
invertido por los empleados del banco: 150.000 dlares.
Costos de El banco ya dispone de varios mtodos establecidos para 50.000 dlares

comunicaciones comunicar noticias a los empleados, como boletines impresos,
sitios Web internos y listas de correo electrnico, por lo que los
costes para notificar la implementacin de las tarjetas
inteligentes no sern importantes.
Costos de cursos El banco utilizar la misma organizacin de consultora para 90.000 dlares
para el personal de impartir cursos al personal de TI que ayudar en la
TI implementacin; el costo ser de 10.000 dlares. La mayora
de los miembros del personal de TI perdern de 4 a 8 horas de
trabajo, con un costo global estimado en 80.000 dlares.
Costos de cursos El banco utilizar los cursos basados en Web del proveedor de 300.000 dlares
para los usuarios las tarjetas inteligentes para ensear a los empleados a
utilizarlas; el costo est incluido en el precio del hardware.
Cada empleado del banco dedicar aproximadamente una hora
en realizar el curso, con un costo global de prdida de
productividad de unos 300.000 dlares.
Costos para la El banco supone que el usuario medio perder una hora de 400.000 dlares
productividad y la productividad y que uno de cada cuatro llamar al servicio de
comodidad asistencia para obtener ayuda relacionada con las tarjetas
inteligentes. El costo de la prdida de productividad ser de
300.000 dlares y los gastos de las llamadas al servicio de
asistencia sern de 100.000 dlares.
Costos de auditora El equipo de administracin de riesgos de seguridad cree que 50.000 dlares
y comprobacin de puede auditar y comprobar peridicamente la eficacia del
eficacia nuevo control con un costo de 50.000 dlares durante el
primer ao.
Total 2.090.000
dlares
Tabla 5.4: Costos de implementacin de tarjetas inteligentes para el acceso local
Costos de El costo por tarjeta inteligente es de 15 dlares y por lector 1.950.000

adquisicin tambin es de 15 dlares. Dado que los 15.000 empleados del dlares
banco necesitarn acceso local, el costo total de las tarjetas y
los lectores ser de 450.000 dlares. El banco tambin tendr
que actualizar o reemplazar muchas aplicaciones de negocios a
un costo importante: 1.500.000 dlares.
Costos de El banco contratar a una empresa de consultora para que le 900.000 dlares
implementacin ayude a implementar la solucin con un costo de 750.000
dlares. No obstante, habr costos considerables por el tiempo
invertido por los empleados del banco: 150.000 dlares.
Costos de El banco ya dispone de varios mtodos establecidos para 50.000 dlares

comunicaciones comunicar noticias a los empleados, como boletines impresos,
sitios Web internos y listas de correo electrnico, por lo que los
costes para notificar la implementacin de las tarjetas
inteligentes no sern importantes.
Costos de cursos El banco utilizar la misma organizacin de consultora para 90.000 dlares
para el personal de impartir cursos al personal de TI que ayudar en la
TI implementacin; el costo ser de 10.000 dlares. La mayora
de los miembros del personal de TI perdern de 4 a 8 horas de
trabajo, con un costo global estimado en 80.000 dlares.
Costos de cursos El banco utilizar los cursos basados en Web del proveedor de 450.000 dlares
para los usuarios las tarjetas inteligentes para ensear a los empleados a
utilizarlas; el costo est incluido en el precio del hardware.
Cada empleado del banco dedicar aproximadamente una hora
en realizar el curso, con un costo global de prdida de
productividad de unos 450.000 dlares.
Costos para la El banco supone que el usuario medio perder una hora de 600.000 dlares
productividad y la productividad y que uno de cada cuatro llamar al servicio de
comodidad asistencia para obtener ayuda relacionada con las tarjetas
inteligentes. El costo de la prdida de productividad ser de
450.000 dlares y los gastos de las llamadas al servicio de
asistencia sern de 150.000 dlares.
Costos de auditora El equipo de administracin de riesgos de seguridad cree que 150.000 dlares
y comprobacin de puede auditar y comprobar peridicamente la eficacia del
eficacia nuevo control con un costo de 150.000 dlares durante el
primer ao.
Total 4.190.000
dlares
Paso 6: Seleccionar la solucin de mitigacin de riesgo

El ltimo paso en el anlisis de costo-beneficio consiste en comparar el nivel de riesgo despus de la
solucin de mitigacin con el costo de dicha solucin. Tanto el riesgo como el costo contienen
valores subjetivos que son difciles de cuantificar en trminos financieros exactos. Utilice los valores
cualitativos como una prueba razonable de comparacin. Evite la tentacin de descartar los costos
intangibles si se produce el riesgo. Pregunte al responsable del activo qu sucedera si el riesgo se
produjera. Pida al responsable que documente su respuesta para evaluar la importancia de la
solucin de mitigacin. Esta tctica puede ser tan persuasiva como una comparacin aritmtica de
valores cuantitativos.

Un error habitual en el anlisis de costo-beneficio consiste en centrarse en el nivel de reduccin
riesgo en vez del nivel de riesgo despus de la solucin de riesgo. Se suele denominar riesgo
residual. Un ejemplo simple con trminos cuantitativos: si el riesgo se representa como 1000
dlares actualmente y el control propuesto reduce el riesgo en 400 dlares, el responsable de
negocios debe aceptar el riesgo tras la solucin de mitigacin de 600 dlares. Aunque la solucin de
mitigacin sea menor que 400 dlares, seguir habiendo un riesgo residual de 600 dlares.
Ejemplo de Woodgrove: es muy probable que el banco opte por implementar tarjetas inteligentes
slo para el acceso remoto, ya que el costo para requerirlas en todas las autenticaciones de usuario
es bastante alto. Documente las soluciones de seguridad recomendadas que se han seleccionado
para su implementacin antes de pasar a la siguiente fase del proceso de administracin de riesgos
de seguridad de Microsoft.
Resumen
Durante la fase de apoyo a la toma de decisiones, el equipo de administracin de riesgos de
seguridad recopila elementos fundamentales de informacin adicional acerca de cada uno de los
riesgos principales identificados en la fase de evaluacin de riesgos. Por cada riesgo se determina si
la organizacin debe optar por controlarlo, aceptarlo, transferirlo o evitarlo. A continuacin, el
equipo define los requisitos funcionales para cada riesgo. Despus, los responsables de mitigacin,
en coordinacin con el equipo de administracin de riesgos de seguridad, crean una lista de posibles
soluciones de control. Posteriormente, el equipo estima la reduccin de nivel de riesgo que cada
solucin de control proporciona y los costos asociados a cada una. Finalmente, el comit directivo
de seguridad selecciona las soluciones de control que los responsables de mitigacin deben
implementar en la siguiente fase, Implementacin de controles, que se describe en el siguiente
captulo.

Captulo 6: Implementacin de controles y medicin de la efectividad del
programa
Informacin general
En este captulo se explican las dos ltimas fases del proceso de administracin de riesgos de
seguridad de Microsoft: la implementacin de controles y la medicin de la efectividad del
programa. La fase de implementacin de controles se explica por s misma: los responsables de
mitigacin crean y ejecutan planes en funcin de la lista de soluciones de control surgida durante el
proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de
evaluacin del riesgo. En este captulo se proporcionan vnculos a indicaciones normativas que los
responsables de mitigacin de su organizacin pueden considerar tiles para responder a distintos
riesgos.
La fase de medicin de la efectividad del programa es un proceso continuo en el que el equipo de
administracin de riesgos de seguridad comprueba peridicamente que los controles implementados
durante la fase anterior estn ofreciendo realmente el nivel de proteccin previsto. Otro paso de
esta fase consiste en valorar el progreso global que la organizacin est efectuando en relacin con
la administracin de riesgos de seguridad como un conjunto. En el captulo se introduce el concepto
de un "clculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento del
rendimiento de su organizacin. Finalmente, en el captulo se explica la importancia de vigilar los
cambios en el entorno informtico, como la adicin y eliminacin de sistemas y aplicaciones o la
aparicin de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la
organizacin adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes.
Implementacin de controles
Durante esta fase, los responsables de mitigacin emplean los controles especificados durante la
fase anterior. Un factor de xito fundamental en esta fase del proceso de administracin de riesgos
de seguridad de Microsoft consiste en que los responsables de mitigacin busquen un enfoque
holstico al implementar las soluciones de control. Deben tener en cuenta todo el sistema de
tecnologa de la informacin (TI), toda la unidad de negocios o, incluso, toda la empresa al crear los
planes para adquirir e implementar soluciones de mitigacin. En la seccin "Organizacin de
controles" de este captulo se ofrecen vnculos a orientacin normativa que pueden resultar tiles
para su organizacin al crear planes para implementar las soluciones de control. Esta seccin est
organizada en un modelo de defensa en profundidad para facilitarle la bsqueda de orientaciones
para solucionar determinados tipos de problemas.
Figura 6.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de
implementacin de controles
Informacin necesaria para la fase de implementacin de controles

Slo hay una informacin de la fase de apoyo a la toma de decisiones necesaria para la fase de
implementacin de controles: la lista de prioridades de soluciones de control que se tienen que
implementar. Si ha seguido los procedimientos descritos en el captulo 5, "Apoyo a la toma de
decisiones", el equipo de administracin de riesgos de seguridad ha registrado esta informacin y ha
presentado sus resultados al comit directivo de seguridad.
Participantes en la fase de implementacin de controles

Los participantes de esta fase son, principalmente, los responsables de mitigacin; sin embargo,
pueden obtener ayuda del equipo de administracin de riesgos de seguridad. La fase de
implementacin de controles incluye las siguientes funciones, que se han definido en el captulo 3,
"Informacin general acerca de la administracin de riesgos de seguridad":
Equipo de administracin de riesgos de seguridad (grupo de seguridad de informacin,
responsable de evaluacin de riesgos y responsable de registro de evaluacin de riesgos)

Responsables de mitigacin (arquitectura de TI, ingeniera de TI y operaciones de TI)
En la siguiente lista se resumen las responsabilidades especficas:
Ingeniera de TI: determina el modo en que se implementan las soluciones de control

Arquitectura de TI: especifica el modo en que las soluciones de control se implementarn de
una manera compatible con los sistemas informticos existentes

Operaciones de TI: implementa soluciones de control tcnico
Seguridad de la informacin: contribuye a resolver los problemas que se puedan producir
durante las pruebas y la implementacin

Finanzas: garantiza que los niveles de gasto estn dentro de los presupuestos aprobados
Como prctica recomendada, el equipo de administracin de riesgos de seguridad debe asignar un
tcnico de seguridad para cada riesgo identificado. Un nico punto de contacto reduce el riesgo de
que el equipo de administracin de riesgos de seguridad genere mensajes incoherentes y ofrezca un
modelo de compromiso ntido a lo largo del proceso de implementacin.
Herramientas proporcionadas para la fase de implementacin de
controles
No hay herramientas incluidas en esta gua relacionadas con la fase de implementacin de
controles.
Resultados necesarios para la fase de implementacin de controles

Durante esta fase del proceso de administracin de riesgos de seguridad de Microsoft, crear planes
para implementar las soluciones de control especificadas durante la fase de apoyo a la toma de
decisiones. En la tabla siguiente se resumen estos elementos clave y en las secciones posteriores de
este captulo tambin se resumen.
Tabla 6.1: Resultados necesarios para la fase de implementacin de controles
Soluciones de control Lista de controles seleccionados por el comit

directivo de seguridad e implementados por los
responsables de mitigacin
Informes de la implementacin de los controles Informe o serie de informes creados por los
responsables de mitigacin donde se describe su
progreso en la implementacin de las soluciones de
control seleccionadas
Organizacin de las soluciones de control

El captulo anterior se ha centrado en el proceso de apoyo a la toma de decisiones. El resultado del
anlisis en dicha fase han sido las decisiones que el comit directivo de seguridad ha adoptado en
relacin con el modo en que la organizacin responder a los riesgos de seguridad identificados
durante la anterior fase de evaluacin de riesgos. Puede que algunos riesgos se hayan aceptado o
se hayan derivado a terceros; en el caso de los riesgos que se tengan que contrarrestar, se ha
creado una lista de prioridades de las soluciones de control.
El siguiente paso consiste en disear planes de accin para implementar los controles en un perodo
de tiempo explcito. Estos planes deben ser claros y precisos; adems, cada uno se debe asignar a
la persona o equipo adecuados para su ejecucin. Utilice prcticas de administracin de proyectos
efectivas para realizar un seguimiento del progreso y garantizar una consecucin puntual de los
objetivos del proyecto.
Nota: Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con xito los planes de
accin creados durante esta fase. Se ha diseado para ayudar a las organizaciones a ofrecer
soluciones de tecnologa de alta calidad puntuales y segn lo presupuestado. MSF sintetiza un
enfoque bien disciplinado orientado hacia los proyectos tecnolgicos basndose en un conjunto
definido de principios, modelos, disciplinas, conceptos, orientaciones y prcticas demostradas de
Microsoft. Para obtener ms informacin, consulte
www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx.
Existen varios factores determinantes y fundamentales para el xito en esta fase del proyecto:
Los ejecutivos encargados del proyecto de administracin de riesgos deben comunicar de forma
clara que dichos miembros del personal estn autorizados para implementar los controles. Si no
se realiza esta declaracin explcita, algunos empleados pueden poner objeciones o incluso
resistirse a los esfuerzos de implementar los nuevos controles.
Al personal encargado de la implementacin de los nuevos controles se le debe permitir cambiar
las prioridades de sus responsabilidades existentes. Debe quedar claro a las personas que
trabajan en los controles, as como a sus superiores, que este trabajo tiene una alta prioridad. Si
no se presupuestan los recursos y el tiempo adecuados, es posible que los controles no se
implementen de forma eficaz. Asimismo, una asignacin no adecuada de los recursos puede
derivar en problemas injustamente atribuidos a la tecnologa o el control.
Al personal encargado de implementar los controles se le debe ofrecer apoyo financiero,
formacin, equipos y otros recursos necesarios para implementar cada control de forma eficaz.
El personal que implemente los controles debe registrar su progreso en un informe o serie de
informes que se enviarn al equipo de administracin de riesgos de seguridad y al comit directivo
de seguridad.
El Centro de instrucciones de seguridad de Microsoft (SGC), en
www.microsoft.com/security/guidance/default.mspx, constituye una coleccin exhaustiva y bien
organizada de documentacin que trata una amplia variedad de temas de seguridad. Las
orientaciones del sitio pueden ayudar a su organizacin a implementar controles seleccionados de
su lista de prioridades.
Nota: gran parte de esta seccin se ha elaborado a partir del sitio Web Microsoft Security Content
Overview en http://go.microsoft.com/fwlink/?LinkId=20263; visite este sitio para obtener las
orientaciones de seguridad normativas de Microsoft ms recientes.
El resto de esta seccin est organizado segn el modelo de defensa en profundidad de Microsoft
(ilustrado a continuacin). De forma similar a los modelos disponibles pblicamente que utilizan
otras organizaciones, el modelo de varios niveles de Microsoft organiza los controles en varias
categoras amplias. La informacin de cada seccin contiene recomendaciones y vnculos a
orientaciones normativas y notas del producto que describen los controles para proteger cada nivel
de una red. La orientacin normativa ofrece ayuda paso a paso para planear e implementar una
solucin integral. Esta gua se ha probado y validado exhaustivamente en entornos de cliente. Las
notas del producto y los artculos normalmente ofrecen buenas referencias tcnicas de las
caractersticas de los productos o de componentes de una solucin global; no pueden proporcionar
la gran cantidad de informacin que se halla en las orientaciones normativas.
Nota: el elemento "Seguridad fsica" del siguiente grfico no dispone de la seccin correspondiente
en este captulo en la que se recomienden recursos acerca del tema; Microsoft no ha publicado
todava una gua detallada al respecto.
Figura 6.2 Modelo de defensa en profundidad
Defensas de la red
Una arquitectura de red bien diseada e implementada correctamente proporciona servicios de alta
disponibilidad, seguros, escalables, fciles de administrar y confiables. Puede disponer de varias
redes en su organizacin y debe evaluar cada una individualmente para asegurarse de que tienen
una proteccin correcta o de que las redes de alto valor estn protegidas de las redes inseguras. La
implementacin de defensas de red internas incluye la consideracin del diseo de red adecuado, la
seguridad de red inalmbrica y, posiblemente, el uso de Seguridad del protocolo de Internet (IPSec)
para garantizar que slo los equipos de confianza tengan acceso a los recursos de red crticos.
Orientacin normativa
Para obtener orientacin normativa acerca de cmo proteger las redes con servidores de seguridad,
consulte Windows Server System Reference Architecture Enterprise Design for Firewalls, que forma
parte de Windows Server System Reference Architecture, en www.microsoft.com/spain/technet/
/seguridad/recursos/masinfo/practicas.asp.
Para obtener orientacin normativa adicional, consulte el captulo 15,"Seguridad en redes",
deImproving Web Application Security: Threats and Countermeasures, en
http://msdn.microsoft.com/library/default.asp?url=/library/en-us
/dnnetsec/html/threatcounter.asp.
Para obtener orientacin normativa acerca de la implementacin de LAN inalmbricas seguras
(WLAN) mediante EAP y certificados digitales, consulte Securing Wireless LANs: A Windows Server
2003 Certificate Services Solution en http://go.microsoft.com/fwlink/?LinkId=14843.
Para obtener orientacin normativa acerca de la implementacin de LAN inalmbricas seguras
(WLAN) con PEAP y contraseas, consulte Seguridad en LAN inalmbricas con PEAP y contraseas
en http://www.microsoft.com/spain/technet/recursos/articulos/peap_0.mspx.
Para obtener orientacin normativa acerca del uso de la segmentacin de red para mejorar la
seguridad y el rendimiento, consulte Windows Server System Reference Architecture: Enterprise
Design, que forma parte de Windows Server System Reference Architecture, en
www.microsoft.com/technet/itsolutions/techguide
/wssra/raguide/Network_Architecture_1.mspx.
Notas del producto y artculos
En el captulo 6, "Overview of IPSec Deployment", de "Deploying Network Services", uno de los
volmenes incluidos en el Kit de implementacin de Microsoft Windows Server 2003, en
www.microsoft.com/technet/prodtechnol
/windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp hay disponible informacin acerca
de la implementacin de IPSec.
En las notas del producto "Using Microsoft Windows IPSec to Help Secure an Internal Corporate
Network Server", en www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-
8851-b7a09e3f1dc9&DisplayLang=en, hay disponible informacin acerca del uso de IPSec.
Para obtener una explicacin ms amplia de la segmentacin de red y los problemas que puede
solucionar un diseo de red slido, consulte "Enterprise Design for Switches and Routers", que
forma parte de Windows Server System Reference Architecture, en
www.microsoft.com/technet/itsolutions/techguide
/wssra/raguide/Network_Devices_SB_1.mspx.
Para obtener informacin general acerca de los distintos tipos de servidores de seguridad
disponibles y cmo se utilizan habitualmente, consulte "Servidores de seguridad" en
www.microsoft.com/technet/security/topics/network/firewall.mspx.
En las siguientes notas del producto se puede encontrar ms informacin acerca del control de
cuarentena del acceso a la red:
"Network Access Quarantine Control in Windows Server 2003" en
www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.
"Virtual Private Networking with Windows Server 2003: Overview" en
www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx.
Defensas de host
Los hosts son de dos tipos: clientes y servidores. La proteccin de ambos requiere conseguir un
equilibrio entre el grado de proteccin y el nivel de capacidad de uso. Aunque existen excepciones,
la seguridad de un equipo normalmente aumenta a medida que se reduce su capacidad de uso. Las
defensas de host pueden incluir deshabilitar servicios, quitar derechos de usuario especficos,
mantener actualizado el sistema operativo, as como utilizar antivirus y productos de servidor de
seguridad distribuidos.
El sitio Web de administracin de revisiones de Microsoft incluye herramientas y guas para ayudar a
las organizaciones a probar, implementar y dar soporte tcnico a las actualizaciones de software de
un modo ms eficaz. Consulte:
http://www.microsoft.com/spain/technet/seguridad/areas/actualiza/default.asp.
Step-by-Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium
Businesses se encuentra en http://go.microsoft.com/fwlink/?linkid=19453.
Para obtener orientacin normativa acerca de cmo proteger Microsoft Windows XP, consulte
laGua de seguridad de Windows XP, en http://go.microsoft.com/fwlink/?LinkId=14839.
Para obtener orientacin normativa acerca de cmo proteger Microsoft Windows Server 2003,
consulte laGua de seguridad de Windows Server 2003, en
http://www.microsoft.com/spain/technet/seguridad/recursos/guias/guia_ws2003.asp.
Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows XP
constituye una gua de referencia de las principales configuraciones y caractersticas de seguridad
incluidas en Windows Server 2003 y Windows XP. Se ha diseado para proporcionar informacin de
referencia detallada para su uso con la Gua de seguridad de Windows Server 2003.Est disponible
en http://go.microsoft.com/fwlink/?LinkId=15159.
Para obtener orientacin normativa acerca de cmo proteger los servidores de Windows 2000,
consulteWindows 2000 Security Hardening Guide, en www.microsoft.com/downloads/details.aspx?
FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en.
Los sistemas operativos y las aplicaciones de servidor de Microsoft utilizan distintos protocolos de
red para establecer comunicacin entre s y los equipos cliente que tienen acceso a ellos, incluidos
los puertos TCP (protocolo de control de transmisin) y UDP (protocolo de datagrama de usuario).
Muchos de estos puertos estn documentados en el artculo 832017 de Microsoft Knowledge Base,
"Port Requirements for Microsoft Windows Server System", en http://support.microsoft.com/?
kbid=832017.
"Preguntas ms frecuentes acerca del software antivirus" es un artculo breve que proporciona
informacin general de alto nivel del software antivirus y consejos acerca de cmo adquirir, instalar
y mantener estos tipos de productos. Est disponible en
www.microsoft.com/security/protect/antivirus.asp.
En "Frequently Asked Questions About Internet Firewalls" se describe la importancia de utilizar
servidores de seguridad, cundo resulta apropiado instalar software de servidor de seguridad en
equipos de usuario final y cmo resolver algunos de los problemas ms habituales relacionados con
el uso de este tipo de software. Est disponible en www.microsoft.com/security/protect/firewall.asp.
Defensas de aplicacin
Las defensas de aplicacin son fundamentales para el modelo de seguridad. Las aplicaciones existen
en el contexto del sistema global, por lo que debe tener en cuenta la seguridad de todo el entorno al
evaluar la seguridad de las aplicaciones. Se debe probar exhaustivamente el cumplimiento de
seguridad de cada aplicacin antes de ejecutarla en un entorno de produccin. La implementacin
de las defensas de aplicacin incluye una arquitectura de aplicaciones correcta, incluida la garanta
de que la aplicacin se ejecuta con el mnimo nivel de privilegio con la menor superficie de ataque
expuesta posible.
En Exchange 2003 Hardening Guide se proporciona informacin acerca de cmo proteger Microsoft
Exchange 2003 Server. Est disponible en www.microsoft.com/downloads/details.aspx?
FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&displaylang=en.
En Security Operations Guide for Exchange 2000se proporciona informacin acerca de cmo
proteger Microsoft Exchange 2000 Server. Est disponible en
www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx.
En el captulo 18, "Seguridad en servidores de bases de datos", de la gua de la solucin Mejora de
la seguridad de aplicaciones Web: Amenazas y contramedidas se incluye informacin normativa
acerca de la proteccin de Microsoft SQL Server. Est disponible en http://msdn.microsoft.com/
library/default.asp?url=/library/en-us/dnnetsec/html/THCMCh18.asp.
En la gua de la solucin Mejora de la seguridad de aplicaciones Web: Amenazas y contramedidas se
proporciona una base slida para el diseo, la creacin y la configuracin de aplicaciones Web
ASP.NET seguras. Est disponible en http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/dnnetsec/html/ThreatCounter.asp.
En la gua Building Secure ASP .NET Applicationsse presenta un enfoque prctico y basado en
escenarios para disear y crear aplicaciones ASP.NET seguras para Windows 2000 y la versin 1.0
de Microsoft .NET Framework. Se centra en los elementos clave de autenticacin, autorizacin y
comunicacin segura dentro de los niveles de las aplicaciones Web .NET distribuidas y entre ellos.
Est disponible en http://msdn.microsoft.com/library/
en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true.
En las notas del producto "Building and Configuring More Secure Web Sites" se incluye informacin
detallada acerca de las lecciones que el equipo de seguridad de Microsoft ha aprendido durante el
concurso de seguridad en lnea OpenHack 4 de 2002 patrocinado por eWeek. La solucin
implementada para el concurso inclua .NET Framework, Microsoft Windows 2000 Advanced Server,
la versin 5.0 de Servicios de Internet Information Server (IIS) y SQL Server 2000. Esta solucin
resisti ms de 82.500 intentos de ataque y acab la competicin intacta. El documento est
disponible en http://msdn.microsoft.com/library/en-us/dnnetsec/html/
openhack.asp.
Defensas de datos
Los datos constituyen el recurso ms valioso de la mayora de las organizaciones. En el nivel de
cliente, los datos normalmente se almacenan localmente y pueden ser muy vulnerables a los
ataques. Los datos se pueden proteger de diferentes maneras, incluido el uso del servicio de
archivos de cifrado (EFS) y las copias de seguridad frecuentes y seguras.
Para obtener informacin acerca de cmo realizar copias de seguridad de los datos en redes
Windows 2000, consulte la gua Backup and Restore Solution for Windows 2000 based Data Centers
en www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/backuprest
default.mspx.
Para obtener instrucciones paso a paso acerca de cmo implementar EFS, consulte Step-by-Step
Guide to Encrypting File System (EFS), que est disponible en
www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp.
Medicin de la efectividad del programa

La fase de medicin de la efectividad del programa permite que el equipo de administracin de
riesgos de seguridad documente formalmente el estado actual de los riesgos de la organizacin. A
medida que la empresa contina por el ciclo de administracin de riesgos, esta fase tambin
contribuye a demostrar el progreso de administrar el riesgo con un nivel aceptable a lo largo del
tiempo. Para facilitar la comunicacin del progreso, en esta seccin se presenta el concepto de un
clculo de riesgo de seguridad como un indicador de alto nivel del riesgo en una organizacin. El
clculo ayuda a demostrar que la administracin de riesgos est realmente integrada en las
operaciones de TI. El concepto de "administracin de riesgos integrada" tambin es un atributo
clave al determinar el nivel de madurez de riesgos de su organizacin, tal como se describe en el
captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad".
Figura 6.3 Proceso de administracin de riesgos de seguridad de Microsoft: Fase de medicin
de la efectividad del programa
Informacin necesaria para la fase de medicin de la efectividad del

programa
En la siguiente lista se resume la informacin de las fases anteriores que se necesita para la fase de
medicin de la efectividad del programa.
La lista de prioridades de los riesgos que se tienen que mitigar. Si ha seguido los procedimientos
descritos en el captulo 4, "Evaluacin del riesgo", habr registrado esta informacin en la hoja de
clculo de Microsoft Excel denominada GARSHerramienta3-Asignacin de prioridades a los
riesgos de nivel detallado.xls, que se encuentra en la carpeta Herramientas y plantillas creada al
desempaquetar el archivo que contiene esta gua y los archivos relacionados.
La lista de prioridades de las soluciones de control que el comit directivo de seguridad ha
seleccionado. Si ha seguido los procedimientos descritos en el captulo 5, "Apoyo a la toma de

decisiones", el equipo de administracin de riesgos de seguridad ha registrado esta informacin y
ha presentado sus resultados al comit directivo de seguridad.
Los informes acerca de la implementacin de los controles que los responsables de mitigacin
han creado durante la fase de implementacin de controles que describen su progreso en la

implementacin de las soluciones de control seleccionadas.
Participantes de la fase de medicin de la efectividad del programa

Los participantes principales de la fase de medicin de la efectividad del programa son los miembros
del grupo de seguridad de informacin. Son los encargados de desarrollar el clculo de riesgos de
seguridad (que se explica ms adelante), comprobar que los controles se han implementado y que
mitigan los riesgos de forma eficaz tal como se esperaba y supervisar los cambios en el entorno de
los sistemas de informacin que pueden modificar el perfil de riesgo de la organizacin. El grupo de
seguridad de informacin proporciona informes continuos al comit directivo de seguridad.
Asimismo, los responsables de mitigacin ayudan al equipo mediante la notificacin de los
principales cambios en la infraestructura informtica y los detalles de los sucesos de seguridad que
se hayan producido. Como recordatorio, el proceso de medicin de la efectividad del programa
incluye las siguientes funciones, que se han definido en el captulo 3, "Informacin general acerca
de la administracin de riesgos de seguridad":
Equipo de administracin de riesgos de seguridad (grupo de seguridad de informacin,
responsable de evaluacin de riesgos y responsable de registro de evaluacin de riesgos)

Responsables de mitigacin (arquitectura de TI, ingeniera de TI y operaciones de TI)
Comit directivo de seguridad (patrocinador ejecutivo, responsables de negocios, arquitectura e
ingeniera de TI)
Estas responsabilidades se resumen en la siguiente lista:
Seguridad de informacin: crea informes de resumen para el comit directivo de seguridad en
relacin con la eficacia de las soluciones de control que se han implementado y acerca de los
cambios en el perfil de riesgo de la organizacin. Adems, crea y mantiene el clculo de riesgos
de seguridad de la organizacin.
Auditora interna: valida la eficacia de las soluciones de control.
Ingeniera de TI: comunica los cambios inminentes al equipo de administracin de riesgos de
seguridad.
Arquitectura de TI: comunica los cambios planeados al equipo de administracin de riesgos de
seguridad.
Operaciones de TI: ofrece informacin detallada relacionada con los sucesos de seguridad al
equipo de administracin de riesgos de seguridad.
Herramientas proporcionadas para la fase de medicin de la

efectividad del programa
No hay herramientas incluidas en esta gua relacionadas con la fase de medicin de la efectividad
del programa.
Resultados necesarios para la fase de medicin de la efectividad del

programa
Durante esta fase, el equipo de administracin de riesgos de seguridad crea informes acerca del
perfil de riesgo de seguridad de la organizacin. En la tabla siguiente se resumen estos elementos
clave y en las secciones posteriores de este captulo se describen en detalle.
Tabla 6.2: Resultados necesarios para la fase de apoyo a la toma de decisiones
Cambios en estudio Informes que explican los cambios en el entorno

de los sistemas de informacin que estn en la
etapa de planeamiento
Cambios aprobados Informes que explican los cambios en el entorno

de los sistemas de informacin que estn a punto
de comenzar
Sucesos de seguridad Informes que detallan los sucesos de seguridad no

planeados que afectan al entorno de los sistemas
de informacin
Resumen de la efectividad de las soluciones de Informe que resume el grado en que las soluciones
control de control estn mitigando el riesgo
Cambios en el perfil de riesgo de la organizacin Informe que muestra el modo en que las amenazas
identificadas anteriormente han cambiado debido a
otras nuevas amenazas, nuevas vulnerabilidades o
cambios en el entorno de los sistemas de
informacin de la organizacin
Clculo de riesgos de seguridad Breve clculo que ilustra el perfil de riesgo actual
de la organizacin
Desarrollo del clculo de riesgos de seguridad de la organizacin

El clculo de riesgos de seguridad constituye una herramienta importante para comunicar la
posicin de riesgo actual de la organizacin. Tambin ayuda a demostrar el progreso de la
administracin de riesgos a lo largo del tiempo y puede constituir un elemento de comunicacin
fundamental para probar la importancia de la administracin de riesgos y su valor para la
organizacin. El clculo debe proporcionar un nivel de resumen del riesgo a la direccin ejecutiva.
No est diseado para resumir la vista tctica de los riesgos detallados que se han identificado
durante la fase de evaluacin de riesgos.
Nota: no confunda el concepto del clculo de riesgos de seguridad con los clculos de TI que se
describen en otras guas de Microsoft. El desarrollo de un clculo de TI puede constituir una forma
eficaz de medir el progreso de una organizacin en relacin con su entorno global de los sistemas
de informacin. El clculo de riesgos de seguridad tambin puede ser valioso en este sentido, pero
est centrado en una parte especfica del entorno de los sistemas de informacin: la seguridad.
El clculo de riesgos de seguridad ayuda al equipo de administracin de riesgos de seguridad a
alcanzar un nivel de riesgo aceptable en la organizacin indicando las reas problemticas y
centrando las inversiones de TI futuras en ellas. Aunque haya elementos en el clculo que estn
clasificados como de alto riesgo, segn la organizacin se puede optar por aceptar el riesgo.
Posteriormente, el clculo se puede utilizar para realizar un seguimiento de estas decisiones en un
nivel alto y ayuda a revisar las decisiones acerca de los riesgos en ciclos futuros del proceso de
En la siguiente figura se representa un clculo de riesgos de seguridad simple organizado por
niveles de defensa en profundidad, segn lo descrito en el captulo 4, "Evaluacin del riesgo".
Personalice el clculo segn las necesidades de su organizacin. Por ejemplo, algunas
organizaciones pueden optar por organizar el riesgo segn unidades de negocios o entornos de TI
nicos. (Un entorno de TI es un conjunto de activos de TI que comparten un propsito y un
responsable de negocios comunes.) Tambin puede disponer de varios clculos de riesgos de
seguridad si su empresa est descentralizada.
Figura 6.4 Ejemplo de clculo de riesgos de seguridad
El clculo de riesgos de seguridad tambin puede formar parte de un "mural" de TI de mayor
tamao que muestre mtricas clave en las operaciones de TI. La prctica de medir y comunicar las
mtricas de TI en un mural tambin es una prctica recomendada en Microsoft. Para obtener ms
informacin, consulte "Measuring IT Health with the IT Scorecard" en
www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx.
Medicin de la efectividad de los controles

Una vez implementados los controles, resulta importante asegurarse de que proporcionan la
proteccin prevista y de que continan aplicndose. Por ejemplo, sera una sorpresa desagradable
descubrir que la causa principal de una infraccin de seguridad importante ha sido que el
mecanismo de autenticacin de la red privada virtual (VPN) ha permitido que los usuarios no
autenticados tuvieran acceso a la red corporativa porque no se ha configurado correctamente
durante la implementacin. Incluso sera un descubrimiento todava ms desagradable saber que los
intrusos han obtenido acceso a los recursos internos porque un ingeniero de la red ha vuelto a
configurar un servidor de seguridad para permitir protocolos adicionales sin obtener aprobacin
previa mediante el proceso de control de cambios de la organizacin.
Segn el estudio llevado a cabo por el departamento Government Accountability Office de EE.UU.
acerca de la administracin de la seguridad de la informacin en las principales organizaciones no
federales (GAO/AIMD-98-68), las pruebas directas constituyen el mtodo ms habitual para
comprobar de forma eficaz el nivel de reduccin de riesgo logrado por los controles. Existen varios
enfoques para llevar a cabo estos tipos de pruebas, entre los que se incluyen las herramientas
automatizadas de evaluacin de vulnerabilidades, evaluaciones manuales y pruebas de penetracin.
En la evaluacin manual, un miembro del equipo de TI comprueba que se ha aplicado cada control y
que parece funcionar correctamente. sta puede ser una tarea lenta, tediosa y propensa a errores
cuando se estn comprobando numerosos sistemas. Microsoft ha publicado una herramienta de
evaluacin de vulnerabilidades gratuita y automatizada denominada Microsoft Baseline Security
Analyzer (MBSA). MBSA puede analizar los sistemas locales y remotos para determinar las
revisiones de seguridad crticas que faltan, as como otras configuraciones de seguridad
importantes. En http://www.microsoft.com/spain/technet/recursos/articulos/welcome3.asp?
opcion=06060304 hay disponible ms informacin acerca de MBSA. Aunque MBSA es gratuito y
resulta muy til, tambin hay disponibles otras herramientas de evaluacin automatizadas de otros
proveedores.
El otro enfoque mencionado anteriormente es el de las pruebas de penetracin. En una prueba de
penetracin, uno o varios usuarios tienen permiso para realizar pruebas automatizadas y manuales
para comprobar si pueden tener acceso a la red de una organizacin de diferentes formas. Algunas
organizaciones realizan las pruebas de penetracin con expertos de seguridad propios, mientras que
otras contratan a expertos externos que estn especializados en realizar estas pruebas.
Independientemente de quin efecte las pruebas de penetracin, el grupo de seguridad de
informacin debe ser el encargado de administrar el proceso y de realizar el seguimiento de los
resultados. Aunque las pruebas de penetracin constituyen un enfoque eficaz, normalmente no
detectan una amplia variedad de vulnerabilidades ya que no son tan exhaustivas como una
evaluacin de vulnerabilidades implementada correctamente. Por lo tanto, se recomienda
complementar las pruebas de penetracin con otros mtodos.
Nota: para obtener ms informacin acerca de las pruebas de penetracin, consulte el libro
Assessing Network Security, escrito por miembros del equipo de seguridad de Microsoft: Ben Smith,
David LeBlanc y Kevin Lam (Microsoft Press, 2004).
Tambin puede comprobar el cumplimiento con otros medios. El grupo de seguridad de informacin
debe animar a los usuarios de la organizacin a ofrecer comentarios. Adems, el equipo puede
instituir un proceso ms formal en el que cada unidad de negocios tenga que enviar informes de
cumplimiento peridicos. Como parte de su proceso de respuesta a incidencias de seguridad, el
grupo de seguridad de informacin debe crear sus propios informes que documenten los sntomas
que originalmente han revelado el problema, los datos expuestos, los sistemas en peligro y el modo
de accin del ataque. Las causas de una incidencia de seguridad pueden ser numerosas, incluido
cdigo malintencionado como gusanos o virus, usuarios internos que han infringido la directiva
accidentalmente, usuarios internos que han expuesto informacin confidencial deliberadamente,
piratas informticos externos que trabajan para organizaciones como la competencia o gobiernos
extranjeros y desastres naturales. Tambin se deben documentar las medidas que ha adoptado el
grupo de seguridad de informacin para contener la incidencia.
Tambin se puede realizar un seguimiento de la efectividad del grupo de seguridad de informacin
de varias formas; por ejemplo:
Nmero de incidencias de seguridad generalizadas que han afectado a organizaciones similares
pero que se han mitigado gracias a los controles que el equipo de seguridad ha recomendado.
Tiempo necesario antes de que los servicios informticos estn restaurados por completo despus
de las incidencias de seguridad.

Cantidad y calidad de los contactos de usuario.
Nmero de instrucciones presentadas internamente.
Nmero de cursos impartidos internamente.
Nmero de evaluaciones llevadas a cabo.
Nmero de conferencias de seguridad informtica a las que se ha asistido.
Nmero y calidad de intervenciones en pblico.
Certificaciones profesionales conseguidas y mantenidas.
Reevaluacin de los riesgos de seguridad y los activos nuevos y

cambiados
Para que la administracin de riesgos de seguridad sea eficaz, tiene que constituir un proceso en la
organizacin en vez de ser un proyecto temporal. La reevaluacin peridica del entorno segn el
proceso descrito en el captulo 4, "Evaluacin del riesgo", es el primer paso para volver a comenzar
el ciclo. Puede parecer evidente, pero el equipo de administracin de riesgos de seguridad debe
reutilizar y actualizar las listas de activos, vulnerabilidades, controles y otra propiedad intelectual
que se hayan desarrollado durante el proyecto de administracin de riesgos inicial.
El equipo puede utilizar sus recursos de una forma ms eficaz si se centra en los cambios del
entorno operativo de la organizacin. Si no ha habido cambios en un activo despus de su ltima
revisin, no tiene sentido en volver a revisarlo minuciosamente. El equipo puede determinar dnde
centrar su atencin si recopila informacin puntual, precisa y relevante acerca de los cambios que
afectan a los sistemas de informacin de la organizacin. Los sucesos internos que deben analizarse
detalladamente son la instalacin de nuevo software o hardware informtico, nuevas aplicaciones
desarrolladas internamente, reorganizaciones corporativas, fusiones y adquisiciones corporativas y
divisiones de partes de la organizacin. Tambin puede ser prudente revisar la lista existente de
riesgos para determinar si se han producido cambios. Adems, examinar los registros de auditora
de seguridad puede ayudar a descubrir nuevas reas de investigacin.
El equipo tambin debe estar alerta ante los cambios que puedan afectar a la seguridad de la
informacin que se produzcan fuera de la organizacin. Algunos ejemplos son:
Revisar los sitios Web y las listas de correo de los proveedores en busca de nuevas
actualizaciones de seguridad y nueva documentacin de seguridad.

Supervisar los sitios Web y las listas de correo de otros fabricantes para obtener informacin
acerca de nuevas investigaciones de seguridad y nuevos avisos relativos a vulnerabilidades de

seguridad.
Asistir a conferencias y simposios que incluyan debates sobre temas de seguridad de informacin.
Realizar cursos de seguridad de informacin.
Estar al da mediante la lectura de libros acerca de seguridad informtica y de redes.
Supervisar los avisos de nuevas herramientas y mtodos de ataque.

Resumen
Durante la fase de implementacin de cambios, los responsables de mitigacin han implementado
las soluciones de control que el comit directivo de seguridad ha elegido durante la fase de apoyo a
la toma de decisiones. Los responsables de mitigacin tambin han proporcionado al equipo de
administracin de riesgos de seguridad informes acerca de su progreso con relacin a la
implementacin de las soluciones de control. En la cuarta fase del proceso de administracin de
riesgos de seguridad predominan las actividades continuas que se seguirn realizando hasta que el
equipo de administracin de riesgos de seguridad inicie el siguiente ciclo mediante una nueva
evaluacin de la seguridad. Entre estas actividades continuas se incluyen informes detallados que
explican los cambios en el entorno de los sistemas de informacin que estn en la fase de
planeamiento, documentan cambios en el entorno de los sistemas de informacin que estn a punto
de comenzar y explican los sucesos de seguridad no planeados que han afectado al entorno de los
sistemas de informacin.
Esta fase tambin incluye informes del equipo de administracin de riesgos de seguridad que
resumen el nivel de mitigacin de riesgos de las soluciones de control y un informe que muestra el
modo en que las amenazas identificadas anteriormente han cambiado debido a nuevas amenazas,
nuevas vulnerabilidades o cambios en el entorno de los sistemas de informacin de la organizacin.
Finalmente, esta fase incluye la creacin y el mantenimiento de un clculo de riesgos de seguridad
que demuestra el perfil de riesgo actual de la organizacin.
Conclusin de la gua
En esta gua se ha presentado el enfoque de Microsoft para la administracin de riesgos de
seguridad. Se trata de un enfoque proactivo que puede ayudar a las organizaciones de cualquier
tamao a responder a las amenazas de seguridad que pueden comprometer el xito de sus
negocios. Un proceso de administracin de riesgos de seguridad formal permite que las empresas
funcionen del modo ms econmico con un nivel conocido y aceptable de riesgos de negocios y
ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los
recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administracin de
riesgos de seguridad se apreciarn al implementar controles asequibles que reduzcan el riesgo a un
nivel aceptable.
La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una
organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de
administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin,
recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de
riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin
para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o
vulnerabilidad de la empresa.
El proceso de administracin de riesgos de seguridad de Microsoft emplea estndares del sector
para ofrecer un hbrido de los modelos de administracin de riesgos establecidos en un proceso de
cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de
evaluacin de riesgos, los pasos cualitativos identifican rpidamente los riesgos ms importantes. A
continuacin viene un proceso cuantitativo que se basa en funciones y responsabilidades
cuidadosamente definidas. Este enfoque ofrece un gran nivel de detalle y conlleva una comprensin
amplia de los riesgos ms importantes. La combinacin de pasos cualitativos y cuantitativos en el
proceso de administracin de riesgos proporciona la base sobre la que pueden tomar decisiones
slidas acerca del riesgo y la mitigacin, siguiendo un proceso empresarial inteligente. Ahora que ha
ledo toda la gua, est preparado para iniciar el proceso; vuelva al captulo 4, "Evaluacin del
riesgo", para comenzar.

Guía de Administración de Riesgos de Seguridad

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guía de Administración de Riesgos de Seguridad

Enviado por

Direitos autorais:

Formatos disponíveis

Gua de administracin de riesgos de seguridad

Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad

Captulo 4: Evaluacin del riesgo

Captulo 5: Apoyo a la toma de decisiones

Captulo 6: Implementacin de controles y medicin de la efectividad del programa

Captulo 1: Introduccin a la Gua de administracin de riesgos de

Claves para tener xito con un programa de administracin de riesgos de seguridad

Trminos y definiciones clave

Convenciones de estilo de los documentos

Referencias para obtener ms informacin

Captulo 2: Estudio de prcticas de administracin de riesgos de

Captulo 3: Informacin general acerca de la administracin de

Captulo 4: Evaluacin del riesgo

Captulo 5: Apoyo a la toma de decisiones

Captulo 6: Implementacin de controles y medicin de la

Apndice A: Evaluaciones de riesgos ad hoc

Apndice B: Activos comunes del sistema de informacin

Apndice C: Amenazas comunes

Gua de administracin de riesgos de seguridad

Retos del entorno

Funcin de Microsoft en la administracin de riesgos de seguridad

entornos en vez de aplicar recursos escasos a todos los riesgos posibles.

Informacin general acerca de la gua

Factores importantes para el xito

arquitectura de sus organizaciones.

proporcionar seguridad entre las plataformas de una organizacin.

requisitos de negocios cruciales que necesitan el apoyo de TI.

Informacin general del contenido

Captulo 1: Introduccin a la Gua de administracin de riesgos de

Captulo 2: Estudio de prcticas de administracin de riesgos de

Captulo 3: Informacin general acerca de la administracin de riesgos

Captulo 4: Evaluacin del riesgo

Captulo 5: Apoyo a la toma de decisiones

Captulo 6: Implementacin de controles y medicin de la efectividad

Apndice A: Evaluaciones ad hoc

Apndice B: Activos comunes del sistema de informacin

Apndice C: Amenazas comunes

archivo de formato de documento porttil (PDF).

Plantilla de recopilacin de datos (GARSHerramienta1-Herramienta de recopilacin de

Claves para el xito

Lista bien definida de los participantes en la administracin de riesgos.

Madurez organizativa en administracin de riesgos.

Ambiente de comunicaciones abiertas.

Espritu de trabajo en equipo.

Visin holstica de la organizacin.

Autoridad de equipo de administracin de riesgos de seguridad.

para un alcance de proyecto articulado de forma clara.

Asignacin de recursos suficientes, como personal y recursos financieros.

Apoyo claro y enrgico al proceso de administracin de riesgos de seguridad.

Lista bien definida de los participantes en la administracin de

Madurez organizativa en administracin de riesgos

Ambiente de comunicaciones abiertas

Espritu de trabajo en equipo

Visin holstica de la organizacin

Autoridad a travs del proceso

en un ao si no se emprende ninguna accin para mitigar un riesgo.

software, datos, personas y documentacin.

personas, entidades o procesos no autorizados (ISO 7498-2).

sinnimo de proteccin o contramedida.

cada control propuesto para que se implementen los ms eficaces.

costo-beneficio. El costo de la solucin de seguridad para mitigar un riesgo se compara con la

protegerse del error de un solo componente de seguridad.

negocios o la seguridad de la informacin.

autorizada (RFC 2828). El proceso de administracin de riesgos de seguridad de Microsoft limita