Escolar Documentos
Profissional Documentos
Cultura Documentos
Informacin general
Publicado: octubre 15, 2004
Los clientes pueden verse desbordados al intentar poner en prctica la administracin de riesgos de
seguridad. Esto probablemente se debe a que no disponen de expertos internos, recursos
presupuestarios, ni directrices para la subcontratacin. Con el fin de ayudar a estos clientes,
Microsoft ha desarrollado la Gua de administracin de riesgos de seguridad.
Esta gua ayuda a cualquier tipo de cliente a planear, crear y mantener un programa de
administracin de riesgos de seguridad de forma correcta. Mediante un proceso dividido en cuatro
fases, que se describe a continuacin. En esta gua se explica cmo llevar a cabo cada fase del
programa de administracin de riesgos de seguridad y cmo crear un proceso continuo para medir y
llevar los riesgos de seguridad a un nivel aceptable.
Esta gua resulta agnstica en lo que a tecnologa se refiere y en ella se hace referencia a
numerosos estndares aceptados por el sector para la administracin de riesgos de seguridad.
Constituye un ejemplo importante del compromiso de Microsoft en ofrecer orientacin de calidad
para ayudar a los clientes a proteger sus infraestructuras de tecnologa de la informacin (TI). En
esta gua se incorporan experiencias reales del departamento de TI de Microsoft as como de
clientes y socios de Microsoft.
Esta gua se ha desarrollado, revisado y aprobado por equipos de expertos en seguridad. Esta gua,
as como otros temas de orientacin acerca de la seguridad, est disponible en el Centro de
instrucciones de seguridad en www.microsoft.com/security/guidance. Los comentarios o las
preguntas acerca de esta gua se deben dirigir a secwish@microsoft.com.
Esta gua consta de seis captulos y cuatro apndices.
En esta pgina
Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad
Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad
Apndices
Apndices
Los apndices son:
Apndice D: Vulnerabilidades
Resumen ejecutivo
Un camino mejor
El enfoque de Microsoft para la administracin de riesgos de seguridad proporciona un enfoque
proactivo que puede ayudar a las organizaciones de cualquier tamao a responder a los requisitos
que presentan estos retos del entorno y legales. Un proceso de administracin de riesgos de
seguridad formal permite que las empresas funcionen de un modo ms econmico con un nivel
conocido y aceptable de riesgos de negocios. Tambin ofrece a las organizaciones una forma
coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de
administrar el riesgo. Las ventajas de utilizar una administracin de riesgos de seguridad se
apreciarn al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable.
La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una
organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de
administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin,
recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de
riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin
para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o
vulnerabilidad de la empresa. Adems, un programa de administracin de riesgos eficaz ayudar a
la empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos
legislativos.
reactivo y frustrante.
Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad.
Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura en sus
Prximos pasos
La inversin en un programa de administracin de riesgos de seguridad (con un proceso slido y
factible as como funciones y responsabilidades definidas) prepara a una organizacin a articular
prioridades, planear la mitigacin de amenazas y afrontar amenazas y vulnerabilidades crticas para
la empresa. Utilice esta gua para evaluar su preparacin y orientar sus capacidades de
administracin de riesgos de seguridad. Si necesita o desea ms ayuda, pngase en contacto con un
equipo de cuentas de Microsoft o con un socio de Microsoft Services.
Principio de la pgina
Destinatarios de la gua
Esta gua se ha diseado principalmente para consultores, especialistas en seguridad, arquitectos de
sistemas y profesionales de TI que son responsables de planear el desarrollo y la implementacin de
aplicaciones o infraestructuras en varios proyectos. Estas funciones incluyen las siguientes
descripciones de trabajo comunes:
Diseadores y arquitectos de sistemas que son responsables de los esfuerzos en materia de
adoptado las precauciones adecuadas para proteger sus activos de negocios importantes.
Ejecutivos, analistas de negocio y responsables de la toma de decisiones con objetivos y
y socios empresariales.
Principio de la pgina
mbito de la gua
El enfoque de esta gua est en el modo de planear, establecer y mantener un proceso de
administracin de riesgos de seguridad satisfactorio en las organizaciones de cualquier tamao y
tipo. En el material se explica cmo llevar a cabo cada fase de un proyecto de administracin de
riesgos y el modo de convertir el proyecto en un proceso continuo que permite a la organizacin
adoptar los controles ms tiles y asequibles para mitigar los riesgos de seguridad.
Apndice D: Vulnerabilidades
En este apndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia
gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar
actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su
organizacin y agregue las identificadas recientemente durante el proceso de evaluacin de riesgos.
Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a
empezar.
Herramientas y plantillas
En esta gua se incluye una serie de herramientas y plantillas que facilitarn a su organizacin la
implementacin del proceso de administracin de riesgos de seguridad de Microsoft. Estas
herramientas y plantillas estn incluidas en un archivo WinZip autoextrable que est disponible en
el Centro de descarga. Tenga en cuenta que la descarga tambin contiene una copia de esta gua. Al
extraer los archivos del archivo de almacenamiento descargado, se crea la siguiente estructura de
carpetas en la ubicacin especificada:
\Gua de administracin de riesgos de seguridad: contiene la versin de esta gua en un
siguientes archivos:
Patrocinio ejecutivo.
de riesgos de seguridad.
Trminos y definiciones
En ocasiones, la terminologa relacionada con la administracin de riesgos de seguridad puede
resultar difcil de entender. En otras ocasiones, un trmino de fcil identificacin puede ser
interpretado de forma distinta por diferentes personas. Por estos motivos, es importante que
comprenda las definiciones que los autores de esta gua han utilizado para los trminos importantes
que aparecen en ella. Muchas de las definiciones indicadas a continuacin proceden de documentos
publicados por dos organizaciones: International Standards Organization (ISO) e Internet
Engineering Task Force (IETF). Las direcciones Web de dichas organizaciones se proporcionan en la
seccin "Informacin adicional" ms adelante en este captulo. En la siguiente lista se proporciona
una perspectiva unificada de los componentes clave de la administracin de riesgos de seguridad:
Expectativa de prdida anual (ALE): importe monetario total que una organizacin perder
ao.
Activo: cualquier elemento de valor para una organizacin, como componentes de hardware y
tener acceso y utilizar segn lo solicite un usuario de sistema autorizado. La disponibilidad es una
de las caractersticas bsicas de un sistema seguro.
CID: consulte confidencialidad, integridad y disponibilidad.
Confidencialidad: propiedad de que la informacin no se revela ni pone a disposicin de
en un activo.
Integridad: propiedad de que los datos no se han modificado ni destruido de un modo no
la amenaza.
Solucin de mitigacin: implementacin de un control (organizativo, de procedimiento o
participantes intentan asignar valores numricos objetivos (por ejemplo, valores monetarios) a
activos, riesgos, controles y efectos.
Reputacin: opinin que las personas tienen de una organizacin; la reputacin de la mayora
de las organizaciones tiene un valor real aunque sea intangible y difcil de calcular.
Rendimiento de la inversin en seguridad (ROSI): importe monetario total que una
efectos.
Administracin de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el
nivel de riesgo actual, adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho
nivel de riesgo.
Expectativa de prdida simple (SLE): importe total de los ingresos que se perdern si se
Convenciones de estilo
En esta gua se utilizan las siguientes convenciones de estilo y terminologa.
Tabla 1.1: Convenciones de estilo
Elemento Significado
Ejemplo de Woodgrove Avisa al lector de que hay contenido relacionado con la empresa ficticia de
ejemplo, "Woodgrove Bank".
Principio de la pgina
Informacin adicional
Las siguientes fuentes de informacin eran las ms recientes disponibles acerca de los temas
estrechamente relacionados con la administracin de riesgos de seguridad en el momento de
publicar esta gua.
Microsoft Operations Framework (MOF) proporciona orientacin que permite a las organizaciones
aumentar la confiabilidad, disponibilidad, compatibilidad y manejabilidad de los productos y las
tecnologas de Microsoft que resultan fundamentales para su labor. MOF proporciona orientacin
operativa en notas del producto, guas de operaciones, herramientas de evaluacin, prcticas
recomendadas, estudios de casos, plantillas, herramientas de asistencia y servicios. El objetivo de
esta gua es orientar en todas las cuestiones administrativas, de personal, de proceso y tecnolgicas
que suelen surgir en cualquier entorno de TI distribuido, heterogneo y complejo. En
www.microsoft.com/mof hay disponible ms informacin acerca de MOF.
Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con xito los planes de accin
creados como parte del proceso de administracin de riesgos de seguridad de Microsoft. Se ha
diseado para ayudar a las organizaciones a ofrecer soluciones de tecnologa de alta calidad
puntuales y segn lo presupuestado. MSF sintetiza un enfoque bien disciplinado orientado hacia los
proyectos tecnolgicos basndose en un conjunto definido de principios, modelos, disciplinas,
conceptos, orientaciones y prcticas demostradas de Microsoft. Para obtener ms informacin
acerca de MSF, consulte www.microsoft.com/msf.
El Centro de instrucciones de seguridad de Microsoft (SGC) constituye una coleccin exhaustiva y
bien organizada de documentacin que trata una amplia variedad de temas de seguridad. SGC est
disponible en www.microsoft.com/security/guidance/default.mspx.
Microsoft Windows 2000 Server Solution for Security es una solucin normativa dirigida a reducir las
vulnerabilidades de seguridad as como los costos de exposicin y la administracin de seguridad en
entornos de Microsoft Windows 2000. Los captulos 2, 3 y 4 de la gua Microsoft Windows 2000
Server Solution for Security contienen la primera gua de administracin de riesgos de seguridad
que ha publicado Microsoft, que se denomina Disciplina de administracin de riesgos de seguridad
(SRMD). La gua que est leyendo reemplaza el contenido de administracin de riesgos de seguridad
de la gua Microsoft Windows 2000 Server Solution for Security. Esta gua esta disponible en
http://go.microsoft.com/
fwlink/?LinkId=14837.
El instituto National Institute for Standards and Technology (NIST) ofrece una excelente gua acerca
de la administracin de riesgos titulada Risk Management Guide for Information Technology
Systems (enero de 2002). Est disponible http://csrc.nist.gov/publications/nistpubs/800-30/
sp800-30.pdf.
NIST tambin ofrece la gua titulada The Security Self-Assessment Guide for Information
Technology Systems (noviembre de 2001) acerca de cmo realizar la evaluacin de su organizacin.
Est disponible en http://csrc.nist.gov/publications/nistpubs/800-26/
sp800-26.pdf.
La organizacin ISO ofrece un cdigo de alto nivel de prctica denominado Information technology
Code of practice for information security management; tambin se denomina ISO 17799. Se
puede adquirir en www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?
CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=.
La organizacin ISO ha publicado varios documentos de estndares, algunos de los cuales se
mencionan en esta gua. Se pueden adquirir en www.iso.org.
La organizacin Computer Emergency Response Team (CERT), que se encuentra en el centro
Software Engineering Institute de la universidad Carnegie-Mellon, ha creado OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability Evaluation SM), una tcnica de autoevaluacin
y planeamiento de riesgos. En www.cert.org/octave hay disponible ms informacin acerca de
OCTAVE.
En CobiT (Control Objectives for Information and Related Technology) se ofrecen estndares de
aplicacin y aceptacin general para prcticas recomendadas de seguridad y control de TI que
proporcionan un marco de referencia a directivos, usuarios y especialistas de auditora, control y
seguridad de sistemas de informacin. Se puede adquirir en lnea en el instituto IT Governance
Institute en www.itgi.org/cobit.
La organizacin IETF ha publicado el documento 2828 de Request for Comments (RFC), que es un
memorando disponible pblicamente donde se proporcionan definiciones estndar para numerosos
trminos de seguridad de sistemas de informacin. Est disponible en
www.faqs.org/rfcs/rfc2828.html.
Este captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y
reactivo de la administracin de riesgos de seguridad. A continuacin, en el captulo se evalan y se
comparan la administracin de riesgos de seguridad cualitativa y la cuantitativa, los dos mtodos
tradicionales. El proceso de administracin de riesgos de seguridad de Microsoft se presenta como
un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un
proceso que ha demostrado su eficacia en Microsoft.
Nota: es importante sentar las bases del proceso de administracin de riesgos de seguridad
mediante la revisin de las distintas formas en que las organizaciones han enfocado la
administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en
administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda
que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean
detenidamente.
Este captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y
reactivo de la administracin de riesgos de seguridad. A continuacin, en el captulo se evalan y se
comparan la administracin de riesgos de seguridad cualitativa y la cuantitativa, los dos mtodos
tradicionales. El proceso de administracin de riesgos de seguridad de Microsoft se presenta como
un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un
proceso que ha demostrado su eficacia en Microsoft.
Nota: es importante sentar las bases del proceso de administracin de riesgos de seguridad
mediante la revisin de las distintas formas en que las organizaciones han enfocado la
administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en
administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda
que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean
detenidamente.
Comparacin de los enfoques de administracin de riesgos
Muchas organizaciones se han introducido en la administracin de riesgos de seguridad debido a la
necesidad de responder a una incidencia de seguridad relativamente pequea. Por ejemplo, el
equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto
informtico debe averiguar cmo tiene que erradicar el virus sin destruir el equipo ni los datos que
contiene. Independientemente de cul sea la incidencia inicial, a medida que aparecen cada vez
ms problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios,
muchas organizaciones sienten frustracin al tener que responder a una crisis tras otra. Desean una
alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las
incidencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo
de forma eficaz evolucionan a un enfoque ms proactivo pero, como se explicar en este captulo,
esto slo constituye parte de la solucin.
Enfoque reactivo
Actualmente, muchos profesionales de tecnologa de informacin (TI) sienten una tremenda presin
para terminar sus tareas rpidamente y provocar las menos incomodidades posibles a los usuarios.
Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo nico
para lo que tienen tiempo de hacer es contener la situacin, averiguar qu ha sucedido y reparar los
sistemas lo ms rpidamente posible. Algunos pueden intentar identificar la causa principal, pero
esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un
enfoque reactivo puede constituir una respuesta tctica eficaz a los riesgos de seguridad
descubiertos y se han convertido en incidencias de seguridad, la imposicin de un pequeo nivel de
rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus
recursos.
Las incidencias de seguridad recientes pueden servir de ayuda para que una organizacin se
prepare y prevea los problemas futuros. Esto significa que una organizacin que dedica tiempo a
responder a las incidencias de seguridad de un modo calmado y racional mientras determina los
motivos subyacentes que han permitido que se produjera la incidencia podr protegerse mejor de
problemas similares en el futuro y responder con ms rapidez a otros problemas que puedan
aparecer.
Queda fuera del alcance de esta gua el examen en profundidad de la respuesta a incidencias, pero
los siguientes seis pasos al responder a incidencias de seguridad pueden ayudarle a afrontarlos de
un modo rpido y eficaz:
1. Proteger la vida humana y la seguridad de las personas. sta debe ser siempre la primera
prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de vida,
apagarlos puede no ser una opcin; tal vez se pueden aislar lgicamente los sistemas en la red
cambiando la configuracin de enrutadores y conmutadores sin interrumpir su capacidad de
ayudar a los pacientes.
2. Contener el dao. Contener el dao que ha provocado el ataque ayuda a limitar daos
adicionales. Proteja rpidamente los datos, el software y el hardware importantes. Minimizar la
alteracin de los recursos informacin es una consideracin importante, pero mantener los
sistemas conectados durante un ataque puede causar ms problemas y de mayor difusin a
largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daos
desconectando los servidores de la red. No obstante, desconectar los servidores puede resultar
ms perjudicial que beneficioso. Utilice su criterio y conocimientos de la red y sistemas para
tomar esta decisin. Si determina que no habr efectos negativos o que estos se vern
compensados por las ventajas positivas de la actividad, la contencin se debe iniciar lo ms
pronto posible durante una incidencia de seguridad mediante la desconexin de la red de los
sistemas que estn afectados. Si no puede contener el dao mediante el aislamiento de los
servidores, supervise activamente las acciones del pirata informtico para poder reparar los
daos tan pronto como sea posible. Ante cualquier incidencia, asegrese de que todos los
archivos de registro se guardan antes de apagar los servidores con el fin de conservar la
informacin que contienen dichos archivos como prueba si usted (o sus abogados) la necesitan
posteriormente.
3. Evaluar el dao. Cree inmediatamente un duplicado de los discos duros de los servidores
atacados y qutelos para realizar un examen forense posterior. A continuacin, evale los daos.
Debe empezar por determinar el alcance de los daos que el ataque ha causado tan pronto
como sea posible, inmediatamente despus de contener la situacin y duplicar los discos duros.
Esta accin es importante para poder restaurar las operaciones de la organizacin tan pronto
como sea posible, al mismo tiempo que se conserva una copia de los discos duros para su
investigacin. Si no se puede evaluar el dao de forma oportuna, debe implementar un plan de
contingencias para que las operaciones de negocios normales y la productividad puedan
continuar. En este momento las organizaciones pueden establecer contacto con los cuerpos de
seguridad en relacin con la incidencia; no obstante, debe establecer y mantener relaciones con
los cuerpos de seguridad que tengan jurisdiccin sobre la actividad de su organizacin antes de
que se produzca una incidencia para que, cuando aparezca un problema grave, sepa con quin
debe ponerse en contacto y con quin debe colaborar. Tambin debe avisar inmediatamente al
departamento jurdico de su empresa para que pueda determinar si es posible emprender una
demanda civil como consecuencia de los daos.
4. Determinar la causa del dao. Para determinar el origen del asalto, es necesario conocer los
recursos a los que iba dirigido el ataque y las vulnerabilidades que se han aprovechado para
obtener acceso o interrumpir los servicios. Revise la configuracin del sistema, el nivel de
revisin, los registros del sistema, los registros de auditora y las pistas de auditora en los
sistemas afectados directamente y en los dispositivos de red que les enrutan el trfico.
Normalmente, estas revisiones ayudan a descubrir dnde se ha originado el ataque en el
sistema y los dems recursos afectados. Debe llevar a cabo esta actividad en los sistemas
informticos instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas
unidades deben permanecer intactas con fines forenses de modo que los cuerpos de seguridad
o sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la
justicia. Si necesita crear una copia de seguridad para efectuar pruebas con el fin de determinar
la causa del dao, cree una segunda copia de seguridad del sistema original y no utilice las
unidades creadas en el paso 3.
5. Reparar el dao. Es de suma importancia que se repare el dao tan pronto como sea posible
para as restaurar las operaciones de negocios normales y los datos que se han perdido durante
el ataque. Los planes y procedimientos de continuidad de negocio de la organizacin deben
cubrir la estrategia de restauracin. El equipo de respuesta a incidencias tambin debe estar
disponible para encargarse del proceso de restauracin y recuperacin, o para proporcionar
orientacin acerca del proceso al equipo responsable. Durante la recuperacin, se ejecutan los
procedimientos de contingencias con el fin de evitar una mayor propagacin del dao y aislarlo.
Antes de devolver los sistemas reparados al servicio, tenga cuidado de que no se vuelvan a
infectar inmediatamente; para ello, asegrese de que ha mitigado las vulnerabilidades que se
hayan atacado durante la incidencia.
6. Revisar las directivas de respuesta y actualizacin. Despus de haber completado las
fases de documentacin y recuperacin, debe revisar a fondo el proceso. Determine con su
equipo cules son los pasos que se realizaron correctamente y qu errores se cometieron. En
casi todos los casos, descubrir que es necesario modificar los procesos para permitirle
administrar mejor las incidencias en el futuro. Inevitablemente encontrar debilidades en su
plan de respuesta a incidencias. En esto estriba la cuestin de este ejercicio detallado: se
buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso de plan
de respuesta a incidencias para poder afrontar las incidencias futuras con menos problemas.
Esta metodologa se ilustra en el siguiente diagrama:
Enfoque proactivo
La administracin de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un
enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuacin, llevar a cabo la
respuesta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan
planes para proteger los activos importantes de la organizacin mediante la implementacin de
controles que reduzcan el riesgo de que el software malintencionado, los piratas informticos o un
uso incorrecto accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una
analoga. La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en
Estados Unidos cada ao. De ellas, ms de 100.000 deben recibir tratamiento en hospitales y cerca
de 36.000 mueren. Podra tratar la amenaza de la enfermedad esperando a infectarse y, despus,
tomar la medicina para tratar los sntomas si enferma. O tambin podra optar por vacunarse antes
de que comenzara la temporada de la gripe.
Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un
enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el nmero de
incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas
desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus
procesos de respuesta a incidencias mientras desarrollan simultneamente enfoques proactivos a
largo plazo.
En las secciones posteriores de este captulo, y en el resto de los captulos de esta gua, se
examinar la administracin de riesgos de seguridad proactiva en profundidad. Todas las
metodologas de administracin de riesgos de seguridad comparten algunos procedimientos de alto
nivel comunes:
1. Identificar los activos de negocios.
2. Determinar el dao que un ataque a un activo podra provocar a la organizacin.
3. Identificar las vulnerabilidades que aprovechar el ataque.
4. Determinar el modo de minimizar el riesgo de ataque mediante la implementacin de los
controles adecuados.
Principio de la pgina
deliberadamente el ejemplo anterior y suponemos que el sitio Web genera una tasa constante por
hora y el mismo sitio Web deja de estar disponible durante seis horas, la exposicin calculada es
de un 0,000685% por ao. Al multiplicar este porcentaje de exposicin por el valor anual del
activo, podr predecir que las prdidas directamente atribuibles en este caso seran de 12.000
dlares. En realidad, la mayora de los sitios Web de comercio electrnico generan ingresos con
unas tasas muy distintas segn la hora del da, el da de la semana, la estacin, las campaas de
publicidad y otros factores. Adems, algunos clientes pueden encontrar un sitio Web alternativo
que prefieran al original, por lo que dicho sitio Web puede tener una prdida de usuarios
permanente. En realidad, calcular la prdida de ingresos resulta bastante complejo si se quiere
ser preciso y tener en cuenta todos los tipos posibles de prdida.
La repercusin de negocios indirecta de la prdida del activo. En este ejemplo, la empresa
estima que gastar 10.000 dlares en publicidad para contrarrestar la propaganda negativa de
una incidencia. Asimismo, la empresa tambin estima una prdida de un 0,01% a un 1% de
ventas anuales, o 17.520 dlares. Mediante la combinacin de los gastos de publicidad
adicionales y de la prdida ingresos por ventas anuales, en este caso se puede predecir un total
de 27.520 dlares en prdidas indirectas.
Determinacin de la expectativa de prdida simple
La expectativa de prdida simple es la cantidad total de ingresos que se pierde por una nica
incidencia del riesgo. Se trata de un importe monetario que se asigna a un nico suceso que
representa la cantidad de prdida potencial de la empresa, en caso de que una amenaza especfica
aproveche una vulnerabilidad. (La expectativa de prdida simple es similar a la repercusin de un
anlisis de riesgos cualitativo.) Calcule dicha expectativa multiplicando el valor del activo por el
factor de exposicin. Dicho factor representa el porcentaje de prdida que una amenaza realizada
podra suponer para un determinado activo. Si un conjunto de servidores Web tiene un valor de
activo de 150.000 dlares y un incendio provoca daos estimados en el 25% de su valor, en este
caso la expectativa de prdida simple ser de 37.500 dlares. No obstante se trata de un ejemplo
muy simplificado, ya que es necesario tener en cuenta otros gastos.
Determinacin de la frecuencia anual
La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el
ao. La elaboracin de estas estimaciones resulta muy difcil; existen muy pocos datos actuariales
disponibles. Lo que se ha recopilado hasta ahora parece ser informacin privada que poseen unas
pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias
anteriores y consulte a expertos en administracin de riesgos, adems de consultores de negocios y
de seguridad. La frecuencia anual es similar a la probabilidad de un anlisis de riesgos cualitativo y
va del 0% (nunca) al 100% (siempre).
Determinacin de la expectativa de prdida anual
La expectativa de prdida anual es la cantidad total de dinero que la organizacin perder en un ao
si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de
prdida simple por la frecuencia anual. La expectativa de prdida anual es similar al intervalo
relativo de un anlisis de riesgo cualitativo.
Por ejemplo, si un incendio en el conjunto de servidores Web de la misma empresa provoca daos
valorados en 37.500 dlares y la probabilidad, o frecuencia anual, de que se produzca un incendio
tiene un valor 0,1 (lo que indica una vez cada diez aos), en este caso el valor de frecuencia anual
sera 3.750 dlares (37.500 x 0,1 = 3.750).
La expectativa de prdida anual proporciona un valor con el que la organizacin puede trabajar para
presupuestar cunto costar establecer controles o protecciones para prevenir este tipo de dao (en
este caso, 3.750 dlares o menos al ao) y brindar un nivel adecuado de proteccin. Es importante
cuantificar la posibilidad real de un riesgo y el dao, en trminos monetarios, que puede causar la
amenaza para determinar la cantidad que se puede destinar en la proteccin contra la posible
consecuencia de la amenaza.
Determinacin del costo de los controles
Determinar el costo de los controles requiere estimaciones precisas de cunto costar adquirir,
probar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir
la compra o desarrollo de la solucin de control, la implementacin y configuracin de la solucin de
control, el mantenimiento de la misma, la notificacin de nuevas directivas o procedimientos
relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de
cmo utilizar y dar soporte al control, supervisarlo y combatir la prdida de comodidad o
productividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio
dae el conjunto de servidores Web, la organizacin ficticia puede implementar un sistema de
extincin de incendios automatizado. Ser necesario contratar a un contratista para que disee e
instale el sistema y, despus, se tiene que supervisar continuamente. Tambin ser necesario
comprobar el sistema peridicamente y, en ocasiones, recargarlo con los retardantes qumicos que
utilice.
Rendimiento de la inversin en seguridad
Estime el costo de los controles mediante la siguiente ecuacin:
(expectativa de prdida anual antes del control) (expectativa de prdida anual despus del
control) (costo anual del control) = rendimiento de la inversin en seguridad
Por ejemplo, la expectativa de prdida anual de la amenaza de que un pirata informtico inutilice un
servidor Web es de 12.000 dlares y despus de implementar la proteccin sugerida se valora en
3.000 dlares. El costo anual del mantenimiento de la proteccin es de 650 dlares, por lo que el
rendimiento de la inversin en seguridad es de 8.350 dlares al ao, tal como se expresa en la
siguiente ecuacin: 12.000 - 3.000 - 650 = 8.350.
Resultados de los anlisis de riesgos cuantitativos
Los elementos de entrada de los anlisis de riesgos cuantitativos proporcionan objetivos y
resultados claramente definidos. Los siguientes elementos normalmente se derivan de los resultados
de los pasos anteriores:
Cuantitativo Cualitativo
Inconvenientes Los valores de repercusin No hay una distincin suficiente entre los
asignados a los riesgos se basan riesgos importantes.
en las opiniones subjetivas de los Resulta difcil invertir en la implementacin de
participantes. controles porque no existe una base para un
El proceso para lograr resultados anlisis de costo-beneficio.
crebles y el consenso es muy Los resultados dependen de la calidad del
lento. equipo de administracin de riesgos que los
Los clculos pueden ser hayan creado.
complejos y lentos.
Los resultados slo se presentan
en trminos monetarios y pueden
ser difciles de interpretar por parte
de personas sin conocimientos
tcnicos.
El proceso requiere experiencia,
por lo que los participantes no
pueden recibir cursos fcilmente
durante el mismo.
En el pasado, los enfoques cuantitativos parecan dominar la administracin de riesgos de
seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez ms especialistas
admiten que el seguimiento estricto de los procesos de administracin de riesgos cuantitativa da
lugar a proyectos difciles y de larga duracin que muestran pocas ventajas tangibles. Como se ver
en los captulos posteriores, el proceso de administracin de riesgos de seguridad de Microsoft
combina los mejores aspectos de ambas metodologas en un nico proyecto hbrido.
Principio de la pgina
Este captulo es el primero de la presente gua donde se ofrece un resumen completo del proceso de
administracin de riesgos de seguridad de Microsoft. Despus de esta informacin general, en el
captulo se tratan varios temas que ayudarn a los lectores a medida que implementen el proceso.
Estos temas proporcionan una base slida para un programa de administracin de riesgos de
seguridad con xito y son:
Resumen
Definir los requisitos funcionales: definicin de los requisitos funcionales para mitigar los
riesgos.
Seleccionar las soluciones de control posibles: descripcin del enfoque para identificar las
soluciones de mitigacin.
Revisar la solucin: evaluacin de los controles propuestos segn los requisitos funcionales.
Estimar la reduccin del riesgo: intento de comprender la exposicin o probabilidad reducida
de riesgos.
Estimar el costo de la solucin: evaluacin de los costos directos e indirectos asociados a las
soluciones de mitigacin.
Seleccionar la estrategia de mitigacin: realizacin del anlisis de costo-beneficio para
identificar la solucin de mitigacin ms asequible.
Fase de implementacin de controles
Resumen
En los captulos 1 a 3 se proporciona informacin general acerca de la administracin de riesgos y
se definen los objetivos y el enfoque para comenzar a sentar las bases para una implementacin
satisfactoria del proceso de administracin de riesgos de seguridad de Microsoft. En el siguiente
captulo se trata en detalle la primera fase, la evaluacin del riesgo. En los captulos posteriores se
trata cada una de las fases del proceso de administracin de riesgos: apoyo a la toma de decisiones,
implementacin de controles y medicin de la efectividad del programa.
Descripcin general
El proceso de administracin de riesgos global consta de cuatro fases principales: evaluacin de
riesgos, apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad
del programa. El proceso de administracin de riesgos ilustra el modo en que un programa formal
proporciona un mtodo coherente de organizacin de recursos limitados para afrontar los riesgos en
una organizacin. Las ventajas se aprecian mediante el desarrollo de un entorno de control
asequible que afronte y mida el riesgo a un nivel aceptable.
La fase de evaluacin de riesgos representa un proceso formal para identificar y asignar prioridades
a los riesgos en la organizacin. El proceso de administracin de riesgos de seguridad de Microsoft
proporciona indicaciones detalladas acerca de cmo realizar las evaluaciones de riesgos y divide el
proceso de la fase de evaluacin de riesgos en los tres pasos siguientes:
1. Planeamiento: establecer las bases para una evaluacin de riesgos correcta.
2. Recopilacin de datos facilitados: recopilar informacin de riesgos mediante los debates
sobre riesgos facilitados.
3. Asignacin de prioridades a riesgos: clasificar los riesgos identificados en un proceso
coherente y repetible.
El resultado de la fase de evaluacin de riesgos es una lista de prioridades de los riesgos que
proporciona la informacin para la fase de apoyo a la toma de decisiones, que se trata en detalle en
el captulo 5, "Apoyo a la toma de decisiones".
En el siguiente diagrama se proporciona un resumen del proceso de administracin de riesgos global
y se muestra la funcin de la evaluacin de riesgos en el conjunto del programa. Tambin se
destacan los tres pasos de la fase de evaluacin de riesgos.
Planeamiento
El planeamiento correcto de la evaluacin de riesgos es fundamental para el xito de todo el
programa de administracin de riesgos. Si no se llevan a cabo adecuadamente las tareas de
alineacin, definicin de mbito y obtencin de aceptacin de la fase de evaluacin de riesgos, se
reduce la eficacia de las dems fases del programa global. La elaboracin de las evaluaciones de
riesgos puede ser un proceso complicado que requiere una inversin importante para llevarlo a
cabo. En la siguiente seccin de este captulo se tratan las tareas y las indicaciones fundamentales
para el paso de planeamiento.
Recopilacin de datos facilitados
Despus del planeamiento, el siguiente paso consiste en recopilar la informacin relacionada con
riesgos de los participantes de toda la organizacin; esta informacin tambin se utilizar en la fase
de apoyo a la toma de decisiones. Los elementos de datos principales recopilados durante el paso
de recopilacin de datos facilitados son:
un activo.
Entorno de controles actual: descripcin de los controles actuales y su eficacia en la
organizacin.
Controles propuestos: ideas iniciales para reducir el riesgo.
El paso de recopilacin de datos facilitados representa el grueso de la colaboracin e interaccin
entre grupos durante la fase de evaluacin de riesgos. En la tercera seccin de este captulo se
tratan las tareas y las indicaciones de recopilacin de datos en detalle.
Funcin Responsabilidad
Tecnologa de la informacin: ingeniera Disea las soluciones tcnicas y estima los costos
de ingeniera.
datos.doc). Plantilla para facilitar los debates con el fin de recopilar datos de riesgos.
Lista de valores de activos (SRAPPB.doc). Lista de algunos activos que normalmente se
Planeamiento
El paso de planeamiento es, indiscutiblemente, el ms importante para garantizar la aceptacin y el
apoyo de los participantes a lo largo del proceso de evaluacin de riesgos. La aceptacin de los
participantes es crucial porque el equipo de administracin de riesgos de seguridad requiere una
intervencin activa del resto de los participantes. El apoyo tambin es fundamental porque los
resultados de la evaluacin pueden influir en las actividades de creacin de presupuestos de los
participantes si se precisan nuevos controles para reducir el riesgo. Las tareas principales del paso
de planeamiento estn enfocadas a alinear correctamente la fase de evaluacin con los procesos de
negocios, definir el mbito de la evaluacin de forma precisa y obtener la aceptacin de los
participantes. En la siguiente seccin se examinan estas tres tareas ms detalladamente y trata los
factores de xito relacionados con dichas tareas.
Alineacin
Resulta idneo comenzar la fase de evaluacin de riesgos antes del proceso de creacin de
presupuestos de la organizacin. La alineacin facilita el apoyo ejecutivo y aumenta la visibilidad en
la organizacin y los grupos de TI mientras desarrollan presupuestos para el siguiente ejercicio
fiscal. Unos plazos correctos tambin ayudan a generar consenso durante la evaluacin porque
permite que los participantes desempeen funciones activas en el proceso de planeamiento. El
grupo de seguridad de informacin normalmente se considera como un equipo reactivo que
interrumpa la actividad de la organizacin y sorprenda a las unidades de negocio con nuevos errores
de control o interrupciones de trabajo. Unos plazos razonables de la evaluacin resultan cruciales
para generar apoyo y ayudar a la organizacin a comprender que la seguridad es responsabilidad de
todos y que es inherente a la organizacin. Otra ventaja de efectuar una evaluacin de riesgos
radica en demostrar que el grupo de seguridad de informacin se puede considerar un socio
proactivo en vez de un mero ejecutor de directivas durante las emergencias. En esta gua se
proporciona un calendario de proyecto de ejemplo como ayuda para alinear el proceso de evaluacin
de riesgos para su organizacin. Evidentemente, el equipo de administracin de riesgos de
seguridad no debe retener la informacin de riesgo mientras se espera el ciclo de creacin de
presupuestos. La alineacin del calendario de la evaluacin simplemente es una prctica
recomendada aprendida de las evaluaciones efectuadas en el departamento de TI de Microsoft.
Nota: la correcta alineacin del proceso de administracin de riesgos con el ciclo de planeamiento
presupuestario tambin puede beneficiar a las actividades de auditora interna o externa; no
obstante, la coordinacin y la definicin del mbito de las actividades de auditora quedan fuera del
mbito de esta gua.
Aceptacin de la subjetividad
Los responsables de negocios a veces se ponen nerviosos cuando un grupo externo (en este caso, el
grupo de seguridad de informacin) predice posibles riesgos de seguridad que puedan afectar a las
prioridades fiscales. Puede reducir esta tensin natural si define expectativas para los objetivos del
proceso de evaluacin de riesgos y para garantizar a los participantes que las funciones y
responsabilidades se respetarn a lo largo del proceso. En concreto, el grupo de seguridad de
informacin debe aceptar que los responsables de negocios definan el valor de los activos de
negocios. Esto tambin significa que los participantes deben confiar en la experiencia del grupo de
seguridad de informacin para estimar el riesgo de las amenazas que afectan a la organizacin. La
prediccin del futuro es subjetiva por naturaleza. Los responsables de negocios deben reconocer y
apoyar el hecho de que el grupo de seguridad de informacin utilizar su experiencia para estimar
las probabilidades de los riesgos. Destaque estas relaciones y exponga las credenciales, experiencia
y objetivos compartidos del grupo de seguridad de informacin y los responsables de negocios.
Despus de llevar a cabo el paso de planeamiento, articular las funciones y las responsabilidades y
definir correctamente las expectativas, estar preparado para comenzar las acciones de trabajo del
proceso de evaluacin de riesgos: recopilacin de datos facilitados y asignacin de prioridades a los
riesgos. En las dos secciones siguientes se explican detalladamente estos pasos antes de pasar al
captulo 5 para describir la fase de apoyo a la toma de decisiones.
Principio de la pgina
Generacin de apoyo
Los responsables de negocios tienen funciones explcitas en el proceso de evaluacin de riesgos.
Son los responsables de identificar sus activos organizativos y de estimar los costos de las posibles
repercusiones en dichos activos. Si se formaliza esta responsabilidad, el grupo de seguridad de
informacin y los responsables de negocios comparten por igual el xito de la administracin de
riesgos. La mayora de los profesionales de seguridad de informacin y los participantes sin
conocimientos tcnicos no aprecian esta conexin automticamente. Como expertos en la
administracin de riesgos, los profesionales de seguridad de informacin deben tomar la iniciativa
para suplir los vacos de conocimientos durante los debates acerca de los riesgos. Tal como se ha
mencionado en el captulo anterior, la incorporacin de un patrocinador ejecutivo que comprenda la
organizacin facilita mucho el establecimiento de esta relacin.
Debate e interrogatorio
En muchos mtodos de administracin de riesgos de seguridad se requiere que el grupo de
seguridad de informacin haga preguntas explcitas a los participantes y catalogue sus respuestas.
Algunos ejemplos de estas preguntas son "puede describir sus directivas para garantizar una
segmentacin correcta de las responsabilidades?" y "cul es su proceso para revisar las directivas y
los procedimientos?". Tenga en cuenta el tono y el curso de la reunin. Es recomendable centrarse
en preguntas abiertas que faciliten los debates en los dos sentidos. Esto tambin permite que los
participantes comuniquen el verdadero espritu de las respuestas en vez de indicar simplemente al
responsable de evaluacin de riesgos lo que creen que desea or. El objetivo del debate acerca de
los riesgos es comprender la organizacin y sus riesgos de seguridad, no el llevar a cabo una
auditora de la directiva documentada. Aunque la aportacin de los participantes sin conocimientos
tcnicos es valiosa, normalmente no es exhaustiva. El equipo de administracin de riesgos de
seguridad, independientemente del responsable de negocios, necesita analizar, investigar y tener en
cuenta todos los riesgos para cada activo.
Generacin de buena voluntad
La seguridad de informacin es una funcin de negocios difcil ya que la reduccin de riesgos se
suele considerar como una reduccin de la capacidad de uso o de la productividad de los
empleados. Utilice los debates facilitados como herramienta para establecer una alianza con los
participantes. La legislacin, las preocupaciones de privacidad, la presin de la competencia y una
mayor toma de conciencia por parte de los consumidores han provocado que los ejecutivos y los
responsables de la toma de decisiones reconozcan que la seguridad es un componente de negocios
muy importante. Ayude a los participantes a comprender la importancia de administrar el riesgo y
sus funciones en el programa global. En ocasiones resulta ms productivo establecer relaciones
entre el grupo de seguridad de informacin y los participantes que los datos reales recopilados
durante la reunin. Es una pequea pero importante victoria en el esfuerzo global de la
administracin de riesgos.
organizacin o los cambios que se hayan producido desde la ltima evaluacin. Preste una
atencin especial a las fusiones y adquisiciones.
Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores, las cuales ofrecen
perspectiva. Puede que el equipo de evaluacin de riesgos tenga que reconciliar la nueva
evaluacin con el trabajo anterior.
Auditoras: recopile los informes de auditora pertinentes al mbito de la evaluacin de riesgos.
Los resultados de auditora se deben tener en cuenta en la evaluacin y al seleccionar las nuevas
soluciones de control.
Incidencias de seguridad: utilice las incidencias anteriores para identificar los activos clave,
comprender el valor de los activos, identificar las vulnerabilidades predominantes y resaltar las
definiciones de control.
Sucesos del sector: identifique las nuevas tendencias en la organizacin y las influencias
Activos
Los activos de negocios pueden ser tangibles o intangibles. Debe definir cada tipo de activo de
forma suficiente para que los responsables de negocios puedan estipular el valor del activo para la
organizacin. Ambas categoras de activos requieren que el participante proporcione estimaciones
en forma de prdida monetaria directa o repercusiones financieras indirectas.
Los activos tangibles incluyen la infraestructura, como centros de datos, servidores y propiedad. Los
activos intangibles incluyen datos u otra informacin digital que resulte valiosa para la organizacin,
por ejemplo, transacciones bancarias, clculos de intereses y planes y especificaciones de desarrollo
de productos.
Segn resulte adecuado para su organizacin, una tercera definicin de activo de servicio de TI
puede ser til. El servicio de TI es una combinacin de activos tangibles e intangibles. Por ejemplo,
un servicio de correo electrnico de TI corporativo contiene servidores fsicos y utiliza la red fsica;
sin embargo, el servicio puede contener datos digitales confidenciales. Tambin debe incluir el
servicio de TI como un activo ya que, por lo general, tiene distintos responsables de datos y activos
fsicos. Por ejemplo, el responsable del servicio de correo electrnico es el encargado de la
disponibilidad para tener acceso y enviar correo electrnico. No obstante, el servicio de correo
electrnico puede no ser responsable de la confidencialidad de los datos financieros del correo
electrnico o los controles fsicos que rodean a los servidores de correo electrnico. Otros ejemplos
de servicios de TI son: uso compartido de archivos, almacenamiento, redes, acceso remoto y
telefona.
Clases de activos
Los activos que se encuentren en el mbito de la evaluacin de riesgos se deben a una clase o
grupo cualitativo. Las clases facilitan la definicin de las repercusiones globales de los riesgos de
seguridad. Tambin ayudan a la organizacin a centrarse en primer lugar en los activos ms
cruciales. Los distintos modelos de evaluacin de riesgos definen una serie de clases de activos. El
proceso de administracin de riesgos de seguridad de Microsoft utiliza tres clases de activos que
facilitan la cuantificacin del valor del activo para la organizacin. Por qu slo tres clases? Estas
tres agrupaciones permiten una diferenciacin suficiente y reducir el tiempo de debate y seleccin
de la denominacin de clase adecuada.
El proceso de administracin de riesgos de seguridad de Microsoft define las tres clases de activos
cualitativos siguientes: alta repercusin en la empresa, repercusin moderada en la empresa y
repercusin baja en la empresa. Durante el paso de asignacin de prioridades a los riesgos, el
proceso tambin proporciona orientacin para cuantificar los activos. Segn resulte adecuado para
la organizacin, puede optar por cuantificar los activos durante los debates de riesgos facilitados. Si
lo hace, tenga en cuenta el tiempo necesario para lograr el consenso en la cuantificacin de los
valores monetarios durante el debate acerca de los riesgos. El proceso recomienda esperar hasta
que se hayan identificado todos los riesgos y posteriormente se les haya asignado prioridades para
reducir el nmero de riesgos que necesitan ms anlisis.
Nota: para obtener informacin adicional acerca de la definicin y clasificacin de la informacin y
los sistemas de informacin consulte los talleres de la publicacin especial 800-60 de National
Institute of Standards and Technology (NIST), "Mapping Types of Information and Information
Systems to Security Categories" y la publicacin 199 de Federal Information Processing Standards
(FIPS), "Security Categorization of Federal Information and Information Systems".
Repercusin alta en la empresa
Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan
prdidas graves o catastrficas para la organizacin. Las repercusiones se pueden expresar en
trminos financieros puros o pueden reflejar prdida indirecta o robo de instrumentos financieros,
productividad de la organizacin, daos a la reputacin o responsabilidad legal o normativa
importante. En la siguiente lista se ofrecen unos cuantos ejemplos de la clase de repercusin alta en
la empresa:
Credenciales de autenticacin: contraseas, claves de cifrado privadas y testigos (tokens) de
hardware.
Material de negocios muy confidencial: datos financieros y propiedad intelectual.
Activos sometidos a requisitos normativos especficos: GLBA, HIPAA, CA SB1386 y
de caducidad.
Perfiles financieros: informes de crdito de clientes o extractos de ingresos personales.
infraestructura de red, informacin acerca de sitios Web internos y datos en recursos compartidos
de archivos internos nicamente para uso de negocios interno.
Repercusin baja en la empresa
Los activos que no son de repercusin alta o de repercusin moderada tienen la clasificacin de
repercusin baja en la empresa y no tienen requisitos de proteccin formales ni controles
adicionales aparte de las prcticas recomendadas estndar para proteger la infraestructura. Estos
activos normalmente son informacin de amplia difusin pblica en los que una revelacin no
autorizada no dara lugar a una prdida financiera importante, problemas legales o normativos,
interrupciones operativas o desventaja competitiva de negocios.
La siguiente es una lista no exhaustiva de algunos ejemplos de activos de repercusin baja en la
empresa:
Qu activo se va a proteger?
activo?
Cules son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?
Para el profesional de seguridad de informacin, las preguntas anteriores se traducen en
terminologa y categoras de evaluacin de riesgos especficas que se emplean para asignar
prioridades a los riesgos. No obstante, es posible que el participante no est familiarizado con
dichos trminos y no est encargado de asignar prioridades a los riesgos. La experiencia demuestra
que si se evita terminologa de seguridad de informacin, como amenazas, vulnerabilidades y
contramedidas, se mejora la calidad del debate y permite que los participantes sin conocimientos
tcnicos no se sientan intimidados. Otra ventaja de utilizar trminos funcionales para debatir el
riesgo radica en que se reduce la posibilidad de que otros tcnicos discutan sutilezas de trminos
especficos. En este punto del proceso es mucho ms importante comprender las reas de mayor
riesgo que debatir definiciones opuestas de amenaza y vulnerabilidad. El responsable de evaluacin
de riesgos debe esperar hasta el final del debate para resolver dudas acerca de las definiciones y
terminologa de los riesgos.
Ventaja competitiva
Legal/normativo
Disponibilidad operativa
Reputacin en el mercado
Por cada categora, ayude a los participantes a situar las estimaciones en los tres grupos siguientes:
empresa, pero probablemente no sean demasiado graves. En este escenario, el alcance del dao
es limitado porque cada asesor financiero slo puede tener acceso a los datos de cliente que
administra. Por lo tanto, el grupo de debate reconoce que un nmero menor de credenciales
robadas provoca menos daos que un nmero mayor.
Un ataque de integridad mediante el robo de credenciales en los hosts de la LAN puede provocar
tener un nivel grave, o alto, de daos. El grupo de debate anota que las configuraciones de
seguridad en los hosts remotos normalmente van por detrs de los sistemas LAN.
Resultado: lista de nivel de resumen para identificar rpidamente la prioridad de los riesgos
para la organizacin.
Tarea 2: revisar la lista de nivel de resumen con los participantes para empezar a alcanzar
consenso en la prioridad de los riesgos y seleccionar los riesgos para la lista de nivel detallado.
Tarea 3: elaborar la lista de nivel detallado mediante el examen de los atributos detallados del
riesgo en el entorno de negocios actual. Esto incluye indicaciones para determinar la estimacin
cuantitativa de cada riesgo.
Resultado: lista de nivel detallado que proporciona informacin exhaustiva de los riesgos
principales para la organizacin.
prioridades a los riesgos puede ocupar mucho tiempo, intente anticiparse a los riesgos
controvertidos e inicie el proceso de asignacin de prioridades lo ms pronto posible. Este mtodo
abreviado es posible debido a que el equipo de administracin de riesgos de seguridad es el nico
responsable del proceso de asignacin de prioridades.
Lleve a cabo la investigacin para generar credibilidad para estimar la probabilidad. Utilice los
informes de auditora anteriores y tenga en cuenta las tendencias del sector as como las
incidencias de seguridad internas segn resulte adecuado. Vuelva a consultar a los participantes
segn sea necesario para obtener informacin acerca de los controles actuales y la toma de
conciencia de los riesgos especficos en sus entornos.
Programe tiempo suficiente en el proyecto para llevar a cabo investigaciones y realizar anlisis de
los riesgos de las evaluaciones anteriores. Esto permite que el equipo de administracin de
riesgos de seguridad realice un seguimiento de los riesgos en varias evaluaciones y proporcione
la ocasin de actualizar los elementos de riesgo anteriores segn sea necesario. Por ejemplo, si
un riesgo anterior no se ha mitigado debido a los altos costos de mitigacin, revise la
probabilidad de que el riesgo se produzca y vuelva a tener en cuenta los cambios en la solucin o
costos de mitigacin.
Media: probable, previsin de ataque una vez al menos en dos a tres aos.
Cada riesgo alto debe tener una resolucin despus del proceso de apoyo a la toma de
decisiones; por ejemplo, aceptar el riesgo o desarrollar una solucin de mitigacin.
Riesgos dudosos: cree el anlisis de asignacin de prioridades detallado para riesgos
moderados que requieren una resolucin. En algunas organizaciones se pueden llegar a incluir
todos los riesgos moderados en la lista detallada.
Riesgos controvertidos: si un riesgo es nuevo, no se ha comprendido bien o los participantes
tienen distintos puntos de vista, cree el anlisis detallado para que los participantes tenga un
conocimiento ms preciso del riesgo.
Ejemplo de Woodgrove: tenga en cuenta que el riesgo "Robo por parte de empleados de
confianza" se ha clasificado como Bajo en la lista de riesgos de nivel de resumen. En este punto del
proceso de asignacin de prioridades, todos los participantes comprenden perfectamente este
riesgo. En el caso de Woodgrove, sirve de ejemplo de un riesgo que no es necesario graduar en el
paso de asignacin de prioridades a riesgos de nivel detallado. Para el resto del ejemplo de
Woodgrove, slo se asignan prioridades a los riesgos de peligro de hosts de la LAN y remotos.
Figura 4.13 Hoja de trabajo de anlisis de riesgos: determinacin de los valores de repercusin
(GARSHerramienta3)
Ver imagen a tamao completo
Ejemplo de Woodgrove: en la siguiente figura se muestra el modo de determinar los valores de
clase de repercusin, clasificacin de exposicin y clasificacin de efecto global mediante el ejemplo
de Woodgrove.
Figura 4.14 Ejemplo de Woodgrove con valores detallados de clase de repercusin, clasificacin
de exposicin y valor de repercusin (GARSHerramienta3)
Ejemplo de Woodgrove
Tarea 2: identificar los controles actuales
En GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls se describen los
controles actuales de la organizacin que en este momento reducen la probabilidad de la amenaza y
la vulnerabilidad definida en la declaracin de repercusiones. En los clculos de probabilidad
detallada tambin se evala una clasificacin de efectividad de los controles; no obstante, la
documentacin de los controles aplicables facilita la comunicacin de los elementos de riesgo. Puede
resultar til organizar las descripciones de los controles en categoras conocidas de grupos de
controles de administracin, operaciones o tcnicos. Esta informacin tambin es til en el proceso
de apoyo a la toma de decisiones descrito en el captulo 5.
Ejemplo de Woodgrove: la siguiente representa una lista de ejemplo de los controles principales
para el "riesgo de peligro de los hosts de la LAN". Consulte GARSHerramienta3-Asignacin de
prioridades a los riesgos de nivel detallado.xls para obtener descripciones de controles adicionales.
Tenga en cuenta que las descripciones de los controles tambin se pueden emplear para justificar
las clasificaciones de exposicin:
Los asesores fiscales slo pueden tener acceso a las cuentas de las que son responsables; por lo
horas. Este control reduce el intervalo de tiempo en el que los hosts de la LAN son vulnerables a
los ataques.
Tarea 3: determinar la probabilidad de repercusiones
La clasificacin de probabilidad consta de dos valores. El primer valor determina la probabilidad de
la vulnerabilidad existente en el entorno segn los atributos de la misma y al ataque posible. El
segundo valor determina la probabilidad de la vulnerabilidad existente en funcin de la efectividad
de los controles actuales. Cada valor se representa mediante un intervalo de 1 a 5. Utilice las
siguientes figuras como orientacin para determinar la probabilidad de cada repercusin en la
organizacin. A continuacin, la clasificacin de probabilidad se multiplicar por la clasificacin de
efecto para determinar la clasificacin de riesgo relativo.
Nota: las figuras 4.15 y 4.17 han servido de ayuda al departamento de TI de Microsoft a
comprender las probabilidades de que los riesgos se produzcan en sus entornos. Ajuste el contenido
segn resulte adecuado para su organizacin.
El grupo de seguridad de informacin se encarga del proceso de asignacin de prioridades y debe
adaptar los atributos de las prioridades segn sea necesario. Por ejemplo, puede modificar las cifras
para centrarse en vulnerabilidades especficas de aplicacin en vez de en vulnerabilidad de
infraestructura empresarial si el mbito de evaluacin est centrado en el desarrollo de aplicaciones.
El objetivo es disponer de un conjunto coherente de criterios para evaluar el riesgo en el entorno.
En la siguiente figura se incluyen estos atributos de vulnerabilidad:
Poblacin de piratas informticos: la probabilidad de ataque normalmente aumenta a medida
Figura 4.16 Hoja de trabajo de anlisis de riesgos: evaluacin del valor de probabilidad
(GARSHerramienta3)
Ver imagen a tamao completo
Ejemplo de Woodgrove: para los hosts de la LAN y remotos, es probable que todos los atributos
de vulnerabilidad de la categora Alta se aprecien dentro y fuera del entorno LAN de Woodgrove en
el futuro prximo. Por lo tanto, el valor de vulnerabilidad es de 5 para ambos riesgos.
En la siguiente figura se evala la efectividad de los controles actuales. Este valor es subjetivo por
naturaleza y se basa en la experiencia del equipo de administracin de riesgos de seguridad para
comprender su entorno de controles. Responda cada pregunta y, despus, sume los valores para
determinar la clasificacin final de los controles. Un valor menor significa que los controles son
eficaces y pueden reducir la probabilidad de que se produzca un ataque.
Figura 4.17 Hoja de trabajo de anlisis de riesgos: evaluacin de la efectividad de los controles
actuales (GARSHerramienta3)
Ver imagen a tamao completo
Ejemplo de Woodgrove: para mostrar el modo en que se pueden utilizar los valores de efectividad
de los controles, en la siguiente tabla se resumen los valores slo para el riesgo de peligro de los
hosts de la LAN; consulte en GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls el ejemplo completo:
Tabla 4.2. Ejemplo de Woodgrove: valores de efectividad de los controles
Los procesos se han definido y puesto 0 (s) Se han documentado y seguido la medicin y
en prctica de forma eficaz? la aplicacin de conformidad.
La tecnologa o los controles existentes 1 (no) Los controles actuales seguirn permitiendo
reducen la amenaza de forma eficaz? un perodo de tiempo entre la vulnerabilidad
y la aplicacin de revisiones.
Figura 4.18 Hoja de trabajo de anlisis de riesgos: clasificacin de probabilidad con control
(GARSHerramienta3)
Ver imagen a tamao completo
Ejemplo de Woodgrove: la clasificacin de probabilidad total para el ejemplo de los hosts de la
LAN es de 6 (valor de 5 para la vulnerabilidad ms 1 para la efectividad del control).
Tarea 4: determinar el nivel de riesgo detallado
En la siguiente figura se muestra el resumen de nivel detallado para identificar el nivel de cada
riesgo identificado. Aunque la evaluacin de riesgos en un nivel detallado pueda parecer complicada,
se puede hacer referencia a la lgica subyacente en cada tarea de la clasificacin de riesgos
mediante las figuras anteriores. Esta posibilidad de realizar el seguimiento de cada tarea en la
declaracin de riesgo proporciona un valor significativo cuando se ayuda a los participantes a
comprender los detalles subyacentes del proceso de evaluacin de riesgos.
Figura 4.19 Hoja de trabajo de anlisis de riesgos: determinacin del nivel de riesgo detallado
(GARSHerramienta3)
Ver imagen a tamao completo
Ejemplo de Woodgrove: en la siguiente figura se muestra el ejemplo de la lista de riesgos
detallada de Woodgrove Bank. Estos datos tambin se presentan en GARSHerramienta3.
Figura 4.20 Ejemplo de Woodgrove Bank para la lista de riesgos detallada (GARSHerramienta3)
Ver imagen a tamao completo
En la figura anterior se muestra el contenido de la clasificacin de riesgos y sus elementos de datos.
Tal como se ha indicado anteriormente, la clasificacin de riesgo es el producto de la clasificacin de
efecto (con valores de 1 a 10) y la clasificacin de probabilidad (con valores de 0 a 10). De este
modo se genera un intervalo de valores de 0 a 100. Al aplicar la misma lgica empleada en la lista
de riesgos de nivel de resumen, el nivel de riesgo detallado tambin se puede comunicar en
trminos cualitativos de alto, medio o bajo. Por ejemplo, una repercusin media y una probabilidad
alta generan una clasificacin de riesgo alta. No obstante, la lista de nivel detallado ofrece
especificidad agregada para cada nivel de riesgo, tal como se muestra en la siguiente figura.
Costo de reemplazo
Costos de sustentacin/mantenimiento
Costos de redundancia/disponibilidad
Reputacin de la organizacin/mercado
Productividad de la organizacin
Ingresos anuales
Ventaja competitiva
Responsabilidad jurdica/normativa
Nota: la hoja de clculo GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado contiene una hoja de trabajo que puede facilitar este proceso.
Despus de disponer de las estimaciones monetarias de cada categora, sume los valores para
determinar la estimacin del activo. Repita este proceso para todos los activos representados en la
clase de repercusin alta en la empresa. El resultado debe ser una lista de activos con prioridades y
una estimacin aproximada de su valor monetario asociado para la organizacin. Repita este
proceso para los activos de las clases de repercusin moderada y baja en la empresa.
Con cada clase de activos, seleccione un valor monetario para representar la valoracin de la clase
de activos. Un enfoque conservador consiste en seleccionar el valor de activo mnimo en cada clase.
Se utilizar para representar el valor de un activo segn la clase de activos seleccionada por los
participantes durante los debates de recopilacin de datos facilitados. Este enfoque simplifica la
tarea de asignar valores monetarios a cada activo ya que se emplean las clases de activos
seleccionadas en los debates de recopilacin de datos.
Nota: otro enfoque para valorar los activos consiste en trabajar con el equipo de administracin de
riesgos financieros que puede disponer de una tasacin de seguros y datos de cobertura para
activos especficos.
Uso de la importancia relativa como orientacin
Si tiene dificultades para seleccionar los valores de clase de activos con el mtodo anterior, otro
enfoque consiste en emplear las directrices asociadas a la definicin de importancia relativa en los
estados financieros elaborados por las empresas de EE.UU. con participacin en el mercado de
valores. La comprensin de las directrices de importancia relativa por parte de su organizacin
puede resultar til en la seleccin del valor de activo alto para la estimacin cuantitativa.
El organismo Financial Accounting Standards Board (FASB) documenta lo siguiente en relacin con
los estados financieros de las empresas con participacin en el mercado de valores: "las
disposiciones de este estado no se tienen que aplicar a los elementos inmateriales". Para obtener
ms informacin, consulte www.sec.gov/interps/account/sab99.htm.
Es importante tener en cuenta este pasaje porque la FASB no dispone de un algoritmo para
determinar lo que es material o inmaterial y advierte en contra del uso de mtodos cuantitativos
estrictos. En su lugar, recomienda especficamente tener en cuenta todas las consideraciones
pertinentes: "la FASB rechaza un enfoque formulista como alivio de 'la pesada tarea de tomar
decisiones acerca de la importancia relativa' en favor de un enfoque que tenga en cuenta todas las
consideraciones pertinentes".
Aunque no existe una frmula, el organismo Security Exchange Commission de EE.UU, en el nmero
99 de Staff Accounting Bulletin, reconoce el uso de una regla general de referencia en la
contabilidad pblica que puede servir de ayuda para determinar las declaraciones errneas de
activos materiales. Para obtener ms informacin, consulte
www.sec.gov/interps/account/sab99.htm. La regla general de referencia mencionada es el cinco por
ciento de los valores del estado financiero. Por ejemplo, una forma de estimar la importancia
relativa de un ingreso neto de ocho mil millones de dlares sera analizar las posibles declaraciones
errneas de 400 millones de dlares o el conjunto de declaraciones errneas que puedan sumar 400
millones de dlares.
Las directrices de importancia material varan considerablemente segn la organizacin. Utilice las
directrices de definicin de importancia relativa slo como referencia. El proceso de administracin
de riesgos de seguridad de Microsoft en modo alguno pretende representar la posicin financiera de
una organizacin.
El uso de las directrices de importancia relativa puede resultar til para estimar el valor de los
activos de repercusin alta en la empresa. No obstante, dichas directrices pueden no resultar
adecuadas al seleccionar estimaciones moderadas y bajas. Se ha de reconocer que la elaboracin de
la estimacin de repercusiones es subjetiva por naturaleza. El objetivo es seleccionar valores que
sean significativos para la organizacin. Para determinar los valores moderados y bajos, es
aconsejable seleccionar un valor monetario que sea significativo en relacin con el importe dedicado
a la tecnologa de la informacin en la organizacin. Tambin puede optar por hacer referencia a los
costos actuales de los controles especficos de seguridad que se aplicarn a cada clase de activos.
Por ejemplo, en el caso de los activos de clase de repercusin moderada, se puede comparar el
valor con el gasto monetario actual en controles bsicos de infraestructura de red. Por ejemplo,
cul es el costo total estimado para software, hardware y recursos operativos para proporcionar
servicios antivirus a la organizacin? Esto proporciona una referencia para comparar los activos con
un importe monetario conocido en la organizacin; otro ejemplo: un valor de clase de repercusin
moderada puede valorarse tanto como el gasto actual en servidores de seguridad para proteger los
activos.
Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad de Woodgrove ha
trabajado con los participantes clave para asignar valores monetarios a las clases de activos. Debido
a que en Woodgrove no tenan experiencia en administracin de riesgos, la empresa decidi utilizar
las directrices de importancia relativa con el fin de elaborar una lnea de base para valorar activos.
Piensa revisar las estimaciones a medida que adquiera experiencia. Woodgrove genera un ingreso
neto aproximado de 200 millones de dlares al ao. Al aplicar el 5% de las directrices de
importancia relativa, a la clase de activos de repercusin alta en la empresa se le asigna un valor de
10 millones de dlares. Segn los gastos en TI anteriores que se han producido en Woodgrove, los
participantes han seleccionado un valor de 5 millones de dlares para los activos de repercusin
media y 1 milln de dlares para los de repercusin baja. Se han seleccionado estos valores porque
los grandes proyectos de TI emprendidos para dar apoyo y proteger los activos digitales en
Woodgrove histricamente han estado en estos intervalos. Dichos valores tambin se volvern a
revisar durante el siguiente ciclo de administracin de riesgos anual.
Figura 4.23 Ejemplo de expectativa de prdida simple de Woodgrove Bank; nota: el valor en
dlares se expresa en millones (GARSHerramienta3)
Ver imagen a tamao completo
Figura 4.25 Ejemplo de expectativa de prdida anual de Woodgrove Bank; nota: los valores en
dlares se expresan en millones (GARSHerramienta3)
Ver imagen a tamao completo
Principio de la pgina
Resumen
La fase de evaluacin de riesgos del ciclo de administracin de riesgos es necesaria para administrar
los riesgos en la organizacin. Al llevar a cabo los pasos de planeamiento, recopilacin de datos
facilitados y asignacin de prioridades, recuerde que el propsito de la fase de evaluacin de riesgos
no es slo identificar y asignar prioridades a los riesgos, sino hacerlo de un modo eficaz y oportuno.
El proceso de administracin de riesgos de seguridad de Microsoft utiliza un enfoque hbrido de
anlisis cualitativo para identificar y clasificar rpidamente los riesgos; a continuacin, emplea los
atributos financieros del anlisis cuantificado para ofrecer una definicin ms precisa de los riesgos.
Cuntas horas de mano de obra por ao se necesitarn para supervisar y mantener el control?
control?
El costo del control es razonable, en relacin con el valor del activo?
En el resto de este captulo se tratarn las respuestas a estas preguntas.
Obtendr xito durante el proceso de apoyo a la toma de decisiones si sigue un camino definido y si
los participantes comprenden sus funciones correspondientes en cada paso. En el siguiente
diagrama se ilustra el modo en que el equipo de administracin de riesgos de seguridad lleva a cabo
el proceso de apoyo a la toma de decisiones. Los responsables de mitigacin son los encargados de
proponer controles que reducirn el riesgo y, a continuacin, de determinar el costo de cada control.
Por cada control propuesto, el equipo de administracin de riesgos de seguridad estima la reduccin
del nivel de riesgo que se espera que el control proporcione. Con estos elementos de informacin, el
equipo puede llevar a cabo un anlisis de costo-beneficio eficaz del control para determinar si
recomienda su implementacin. Posteriormente, el comit de direccin de seguridad decide los
controles que se implementarn.
Funcin Responsabilidad
Equipo de administracin de riesgos de seguridad Define los requisitos funcionales de los controles
para cada riesgo, notifica el estado de proyecto a
los participantes y usuarios afectados segn sea
necesario
El equipo de administracin de riesgos de seguridad debe asignar un tcnico de seguridad para cada
riesgo identificado. Un nico punto de contacto reduce el riesgo de que el equipo de administracin
de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso ntido a
lo largo del anlisis de costo-beneficio.
Decisin acerca de cmo se afrontar cada riesgo Si se controlar, aceptar, transferir o evitar
cada uno de los riesgos principales
Reduccin de riesgo de cada solucin de control Evaluacin de cada solucin de control propuestas
para determinar en qu medida se reducir el nivel
de riesgo para el activo
Costo estimado de cada solucin de control Todos los costos asociados a la adquisicin,
implementacin, asistencia y medicin de cada
control propuesto
Creacin de consenso
Es importante que todo el equipo de administracin de riesgos de seguridad tome decisiones por
consenso en la medida de lo posible; sin l, los comentarios de los miembros en contra pueden
socavar las recomendaciones despus de que el equipo las presente al comit directivo de
seguridad. Aunque el comit apruebe los controles recomendados, la oposicin subyacente puede
provocar que los proyectos de implementacin de controles de seguimiento no se apliquen. Para que
tenga xito todo el proceso de administracin de riesgos, todos los miembros del equipo deben
estar de acuerdo y apoyar los controles recomendados.
vlidos en determinadas circunstancias para omitir un determinado elemento, pero que se deben
comprender y sopesar atentamente las implicaciones completas antes de elegir una accin
distinta. Por ejemplo, si en la evaluacin de riesgos se identifica un escenario de bajo riesgo, el
trmino "SE DEBE" constituye la mejor descripcin mediante palabra clave para el requisito que
soluciona dicho escenario.
NO SE DEBE: este trmino, o "NO RECOMENDADO", significa que pueden existir motivos vlidos
opcional. Un proveedor puede optar por incluir el elemento porque un determinado mercado lo
requiere o porque piensa que mejora el producto, mientras que otro proveedor puede omitir el
mismo elemento. Una implementacin que no incluya una determinada opcin TIENE QUE estar
preparada para interoperar con otra implementacin que s la incluya, aunque tal vez con
funcionalidad reducida. En el mismo sentido, una implementacin que incluya una determinada
opcin TIENE QUE estar preparada para interoperar con otra implementacin que no la incluya (a
excepcin, como es lgico, de la caracterstica que proporciona la opcin).
Despus de haber definido y documentado los requisitos funcionales para cada riesgo, puede ir al
siguiente paso de la fase de apoyo a la toma de decisiones.
ejemplo, implementar la autenticacin de varios factores para reducir el riesgo de que peligren
las contraseas o implementar una infraestructura de administracin de revisiones automatizada
para reducir el riesgo de que los sistemas se pongan en peligro debido a cdigo mvil
malintencionado.
Qu puede hacer la organizacin para recuperarse de un riesgo una vez se ha detectado? Por
riesgo mediante la adquisicin de un seguro que indemnice por las prdidas relacionadas con
dicho riesgo.
El segundo mtodo para identificar los nuevos posibles controles los organiza en tres categoras
extensas: organizativa, operativa y tecnolgica. stos se subdividen en controles que proporcionan
prevencin, deteccin y recuperacin, as como administracin. Los controles preventivos se
implementan para impedir que se materialice un riesgo; por ejemplo, detienen las infracciones
antes de que se produzcan. Los controles de deteccin y recuperacin ayudan a la organizacin a
determinar cundo se ha producido un suceso de seguridad y para reanudar las operaciones
normales posteriormente. Los controles de administracin no proporcionan necesariamente
proteccin por s mismos, pero son necesarios para implementar otros controles. A continuacin se
describen estas categoras con ms detalle.
Controles organizativos
Los controles organizativos son procedimientos y procesos que definen el modo en que las personas
de la organizacin deben llevar a cabo sus tareas.
Los controles preventivos de esta categora son:
Funciones y responsabilidades claras. Deben estar definidas y documentadas de forma clara para
que los directivos y el personal comprendan sin posibilidad de dudas quin es el responsable de
garantizar que se implementa un nivel de seguridad adecuado para los activos de TI ms
importantes.
Separacin de responsabilidades y privilegios mnimos. Si se implementan correctamente,
garantizan que las personas slo dispondrn del acceso suficiente a los sistemas de TI para
desempear sus tareas eficazmente y no ms.
Planes y procedimientos de seguridad documentados. Se desarrollan para explicar el modo en
para todos los miembros de la organizacin para que los usuarios y los miembros del equipo de
TI comprendan sus responsabilidades y el modo de utilizar correctamente los recursos
informticos a la vez que se protegen los datos de la organizacin.
Sistemas y procesos para crear y eliminar usuarios. Estos controles son necesarios para que los
nuevos miembros de la organizacin puedan ser productivos rpidamente y para que el personal
que abandona la empresa pierda el acceso inmediatamente al marcharse. Los procesos de
creacin tambin deben incluir transferencias de empleados de los grupos de la empresa donde
los privilegios y el acceso cambien de un nivel a otro. Por ejemplo, los funcionarios que cambian
de puesto y las clasificaciones de seguridad de Secreto a Confidencial, o viceversa.
Procesos establecidos para conceder acceso a contratistas, proveedores, socios y clientes.
Controles operativos
Los controles operativos definen el modo en que las personas de la organizacin deben tratar los
datos, el software y el hardware. Tambin incluyen protecciones ambientales y fsicas, segn se
describe a continuacin.
Los controles preventivos de esta categora son:
Proteccin de las instalaciones informticas con medios fsicos como barreras, dispositivos y
alarmas de equipos mviles y cifrado de los archivos almacenados en los dispositivos mviles.
Fuente de alimentacin de reserva para emergencias, que puede impedir que los sistemas
elctricos sensibles se daen durante cortes de suministro elctrico y apagones; tambin pueden
garantizar que las aplicaciones y los sistemas operativos se cierran correctamente para conservar
los datos y las transacciones.
Sistemas contra incendios, como sistemas de extincin de incendios automticos y extintores,
que constituyen herramientas fundamentales para proteger los activos clave de la organizacin.
Sistemas de control de temperatura y de humedad que prolongan la duracin de los equipos
autorizado tiene acceso a informacin confidencial y que los medios empleados para almacenar
dichos datos no quedan legibles mediante desmagnetizacin u otros mtodos antes de la
eliminacin.
Sistemas de copia de seguridad y disposiciones para el almacenamiento de las copias de
seguridad fuera de las instalaciones con el fin de facilitar la restauracin de los datos perdidos o
daados. Si se produce una incidencia catastrfica, los medios de copia de seguridad
almacenados fuera de las instalaciones permiten almacenar los datos cruciales para el negocio en
los sistemas de reemplazo.
Los controles de deteccin y recuperacin de esta categora son:
Seguridad fsica, que protege a la organizacin de atacantes que intenten obtener acceso a sus
inundaciones e incendios; algunos ejemplos son: detectores de humo y fuego, alarmas, sensores
y detectores de inundaciones.
Controles de tecnologa
Los controles de tecnologa varan considerablemente en cuanto a su complejidad. Incluyen: diseo
de la arquitectura del sistema, ingeniera, hardware, software y firmware. Todos son componentes
de tecnologa que se utilizan para crear los sistemas de informacin de una organizacin.
Los controles preventivos de esta categora son:
Autenticacin. Proceso de validar las credenciales de una persona, proceso de equipo o
pueda negar falsamente que ha realizado dicha accin. El no rechazo proporciona una prueba
innegable de que un usuario ha realizado una accin especfica, como transferir dinero, autorizar
una compra o enviar un mensaje.
Control de acceso. Mecanismo para limitar el acceso a determinada informacin en funcin de la
sistema que se aparte de las normas previstas. Constituyen una herramienta fundamental para
detectar, comprender y recuperarse de infracciones de seguridad.
Programas antivirus. Diseados para detectar y responder a software malintencionado, como
virus y gusanos. Las respuestas pueden ser el bloqueo del acceso de usuario a los archivos
infectados, la limpieza de los archivos o sistemas infectados o la notificacin al usuario de que se
ha detectado un programa infectado.
Herramientas de integridad del sistema. Permiten que el personal de TI determine si se han
esta capacidad, los sistemas pueden incluir caractersticas como responsabilidad, control de
acceso discrecional, control de acceso basado en funciones y control de acceso obligatorio.
Protecciones inherentes al sistema, que son caractersticas diseadas en el sistema para proteger
Si reconoce una debilidad, puede resistir el ataque o realizar un seguimiento del mismo?
Cul es el costo total del control en relacin con el valor del activo?
Estas preguntas pueden resultar complejas cuando un determinado control afecta a varias
vulnerabilidades y activos. Por ltimo, el objetivo de este paso es realizar la estimacin de la
reduccin de los niveles de riesgo que efecta cada control. Registre los nuevos valores de
Clasificacin de exposicin, Clasificacin de probabilidad y Clasificacin de riesgo en las columnas
etiquetadas "Clasificacin de exposicin con el nuevo control", "Clasificacin de probabilidad con el
nuevo control" y "Nueva clasificacin de riesgo" de GARSHerramienta3-Asignacin de prioridades a
los riesgos de nivel detallado.xls para cada riesgo.
Ejemplo de Woodgrove: en relacin con el primer riesgo, el de que se pongan en peligro las
contraseas de los asesores financieros mientras utilizan clientes de LAN, el equipo de
administracin de riesgos de seguridad puede llegar a la conclusin de que la clasificacin de
exposicin despus de implementar tarjetas inteligentes para la autenticacin local sera de 8, la
clasificacin de probabilidad bajara a 1 y, por lo tanto, la nueva clasificacin de riesgo sera de 9.
Para el segundo riesgo, el de que se pongan en peligro las contraseas de los asesores financieros
al acceder a la red de forma remota, el equipo de administracin de riesgos de seguridad
encontrara valores similares. Registre las nuevas clasificaciones de exposicin, probabilidad y riesgo
para cada control propuesto en las columnas "Clasificacin de exposicin con el nuevo control",
"Clasificacin de probabilidad con el nuevo control" y "Nueva clasificacin de riesgo" de la hoja de
trabajo Riesgo detallado de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel
detallado.xls.
Costos de adquisicin
Estos costos abarcan el software, el hardware o los servicios relacionados con un nuevo control
propuesto. Puede que algunos controles no tengan costos de adquisicin; por ejemplo, la
implementacin de un nuevo control puede implicar nicamente la habilitacin de una caracterstica
no utilizada anteriormente en un elemento de hardware de red que ya utiliza la organizacin. Otros
controles pueden requerir la compra de nuevas tecnologas, como software de servidor de seguridad
distribuido o hardware de servidor de seguridad dedicado con capacidad de filtrado de niveles de
aplicacin. Algunos controles pueden no requerir que se compre nada sino que se contrate a otra
organizacin. Por ejemplo, una organizacin puede contratar a otra empresa para que le
proporcione una lista de bloqueo de sistemas de envo de correo no deseado conocidos que se
actualice diariamente para poderla aprovechar en sus filtros de correo no deseado que ya estn
instalados en los servidores de correo de la organizacin. Puede haber otros controles que la
organizacin decida desarrollar por su cuenta; todos los costos relacionados con el diseo, el
desarrollo y la prueba de los controles formaran parte de los controles de adquisicin de la
organizacin.
Costos de implementacin
Estos gastos estn relacionados con el personal o los consultores que instalarn y configurarn el
nuevo control propuesto. Algunos controles pueden requerir que un equipo grande los especifique,
disee, pruebe e implemente correctamente. Un administrador de sistemas experto tambin puede
deshabilitar los servicios de sistema no utilizados en todos los equipos de escritorio y mviles en
pocos minutos si la organizacin ya ha implementado herramientas de administracin empresarial.
Costos continuos
Estos costos estn relacionados con las actividades continuas asociadas al nuevo control, como la
administracin, la supervisin y el mantenimiento. Pueden parecer bastante difciles de estimar, por
lo que intente considerarlos en relacin con la cantidad de personas que tienen que participar y el
tiempo que cada semana (mes o ao) se necesita dedicar a estas tareas. Piense en un sistema de
deteccin de intrusin basado en red slido y distribuido para una gran empresa con oficinas en
cuatro continentes. Dicho sistema requiere personas que lo supervisen las 24 horas del da, todos
los das, y deben poder interpretar y responder a las alertas eficazmente. Se pueden necesitar ocho
o diez (tal vez ms) empleados a tiempo completo para que la organizacin desarrolle totalmente el
potencial de este control complejo.
Costos de comunicaciones
Este gasto est relacionado con la notificacin de nuevas directivas o procedimientos a los usuarios.
Para una organizacin con unos cientos de empleados que instale bloqueos electrnicos para su sala
de servidores, puede ser suficiente con enviar unos cuantos mensajes de correo electrnico al
personal de TI y directores jefe. Pero una organizacin que, por ejemplo, implemente tarjetas
inteligentes necesitar establecer muchas comunicaciones antes, durante y despus de la
distribucin de las tarjetas inteligentes y los lectores, debido a que los usuarios tendrn que
aprender una nueva forma de iniciar sesin en sus equipos y, sin duda alguna, se producirn
numerosas situaciones nuevas o inesperadas.
Cmo se garantizar que el control realmente hace lo que se supone que debe hacer?
control?
Despus de validar la eficacia del control, cmo comprobar la organizacin de forma continuada
Costos de El costo por tarjeta inteligente es de 15 dlares y por lector 300.000 dlares
adquisicin tambin es de 15 dlares. Slo 10.000 empleados del banco
necesitan funciones de red privada virtual (VPN) o acceso
administrativo, por lo que el costo total de tarjetas y lectores
ser de 300.000 dlares.
Costos de El banco contratar a una empresa de consultora para que le 900.000 dlares
implementacin ayude a implementar la solucin con un costo de 750.000
dlares. No obstante, habr costos considerables por el tiempo
invertido por los empleados del banco: 150.000 dlares.
Costos de cursos El banco utilizar la misma organizacin de consultora para 90.000 dlares
para el personal de impartir cursos al personal de TI que ayudar en la
TI implementacin; el costo ser de 10.000 dlares. La mayora
de los miembros del personal de TI perdern de 4 a 8 horas de
trabajo, con un costo global estimado en 80.000 dlares.
Costos de cursos El banco utilizar los cursos basados en Web del proveedor de 300.000 dlares
para los usuarios las tarjetas inteligentes para ensear a los empleados a
utilizarlas; el costo est incluido en el precio del hardware.
Cada empleado del banco dedicar aproximadamente una hora
en realizar el curso, con un costo global de prdida de
productividad de unos 300.000 dlares.
Costos para la El banco supone que el usuario medio perder una hora de 400.000 dlares
productividad y la productividad y que uno de cada cuatro llamar al servicio de
comodidad asistencia para obtener ayuda relacionada con las tarjetas
inteligentes. El costo de la prdida de productividad ser de
300.000 dlares y los gastos de las llamadas al servicio de
asistencia sern de 100.000 dlares.
Costos de auditora El equipo de administracin de riesgos de seguridad cree que 50.000 dlares
y comprobacin de puede auditar y comprobar peridicamente la eficacia del
eficacia nuevo control con un costo de 50.000 dlares durante el
primer ao.
Categora Notas Estimaciones
Total 2.090.000
dlares
Tabla 5.4: Costos de implementacin de tarjetas inteligentes para el acceso local
Costos de El banco contratar a una empresa de consultora para que le 900.000 dlares
implementacin ayude a implementar la solucin con un costo de 750.000
dlares. No obstante, habr costos considerables por el tiempo
invertido por los empleados del banco: 150.000 dlares.
Costos de cursos El banco utilizar la misma organizacin de consultora para 90.000 dlares
para el personal de impartir cursos al personal de TI que ayudar en la
TI implementacin; el costo ser de 10.000 dlares. La mayora
de los miembros del personal de TI perdern de 4 a 8 horas de
trabajo, con un costo global estimado en 80.000 dlares.
Costos de cursos El banco utilizar los cursos basados en Web del proveedor de 450.000 dlares
para los usuarios las tarjetas inteligentes para ensear a los empleados a
utilizarlas; el costo est incluido en el precio del hardware.
Cada empleado del banco dedicar aproximadamente una hora
en realizar el curso, con un costo global de prdida de
productividad de unos 450.000 dlares.
Costos para la El banco supone que el usuario medio perder una hora de 600.000 dlares
productividad y la productividad y que uno de cada cuatro llamar al servicio de
comodidad asistencia para obtener ayuda relacionada con las tarjetas
inteligentes. El costo de la prdida de productividad ser de
450.000 dlares y los gastos de las llamadas al servicio de
asistencia sern de 150.000 dlares.
Costos de auditora El equipo de administracin de riesgos de seguridad cree que 150.000 dlares
y comprobacin de puede auditar y comprobar peridicamente la eficacia del
eficacia nuevo control con un costo de 150.000 dlares durante el
primer ao.
Categora Notas Estimaciones
Total 4.190.000
dlares
Resumen
Durante la fase de apoyo a la toma de decisiones, el equipo de administracin de riesgos de
seguridad recopila elementos fundamentales de informacin adicional acerca de cada uno de los
riesgos principales identificados en la fase de evaluacin de riesgos. Por cada riesgo se determina si
la organizacin debe optar por controlarlo, aceptarlo, transferirlo o evitarlo. A continuacin, el
equipo define los requisitos funcionales para cada riesgo. Despus, los responsables de mitigacin,
en coordinacin con el equipo de administracin de riesgos de seguridad, crean una lista de posibles
soluciones de control. Posteriormente, el equipo estima la reduccin de nivel de riesgo que cada
solucin de control proporciona y los costos asociados a cada una. Finalmente, el comit directivo
de seguridad selecciona las soluciones de control que los responsables de mitigacin deben
implementar en la siguiente fase, Implementacin de controles, que se describe en el siguiente
captulo.
Informacin general
En este captulo se explican las dos ltimas fases del proceso de administracin de riesgos de
seguridad de Microsoft: la implementacin de controles y la medicin de la efectividad del
programa. La fase de implementacin de controles se explica por s misma: los responsables de
mitigacin crean y ejecutan planes en funcin de la lista de soluciones de control surgida durante el
proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de
evaluacin del riesgo. En este captulo se proporcionan vnculos a indicaciones normativas que los
responsables de mitigacin de su organizacin pueden considerar tiles para responder a distintos
riesgos.
La fase de medicin de la efectividad del programa es un proceso continuo en el que el equipo de
administracin de riesgos de seguridad comprueba peridicamente que los controles implementados
durante la fase anterior estn ofreciendo realmente el nivel de proteccin previsto. Otro paso de
esta fase consiste en valorar el progreso global que la organizacin est efectuando en relacin con
la administracin de riesgos de seguridad como un conjunto. En el captulo se introduce el concepto
de un "clculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento del
rendimiento de su organizacin. Finalmente, en el captulo se explica la importancia de vigilar los
cambios en el entorno informtico, como la adicin y eliminacin de sistemas y aplicaciones o la
aparicin de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la
organizacin adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes.
Principio de la pgina
Implementacin de controles
Durante esta fase, los responsables de mitigacin emplean los controles especificados durante la
fase anterior. Un factor de xito fundamental en esta fase del proceso de administracin de riesgos
de seguridad de Microsoft consiste en que los responsables de mitigacin busquen un enfoque
holstico al implementar las soluciones de control. Deben tener en cuenta todo el sistema de
tecnologa de la informacin (TI), toda la unidad de negocios o, incluso, toda la empresa al crear los
planes para adquirir e implementar soluciones de mitigacin. En la seccin "Organizacin de
controles" de este captulo se ofrecen vnculos a orientacin normativa que pueden resultar tiles
para su organizacin al crear planes para implementar las soluciones de control. Esta seccin est
organizada en un modelo de defensa en profundidad para facilitarle la bsqueda de orientaciones
para solucionar determinados tipos de problemas.
Figura 6.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de
implementacin de controles
Ver imagen a tamao completo
Informes de la implementacin de los controles Informe o serie de informes creados por los
responsables de mitigacin donde se describe su
progreso en la implementacin de las soluciones de
control seleccionadas
clara que dichos miembros del personal estn autorizados para implementar los controles. Si no
se realiza esta declaracin explcita, algunos empleados pueden poner objeciones o incluso
resistirse a los esfuerzos de implementar los nuevos controles.
Al personal encargado de la implementacin de los nuevos controles se le debe permitir cambiar
las prioridades de sus responsabilidades existentes. Debe quedar claro a las personas que
trabajan en los controles, as como a sus superiores, que este trabajo tiene una alta prioridad. Si
no se presupuestan los recursos y el tiempo adecuados, es posible que los controles no se
implementen de forma eficaz. Asimismo, una asignacin no adecuada de los recursos puede
derivar en problemas injustamente atribuidos a la tecnologa o el control.
Al personal encargado de implementar los controles se le debe ofrecer apoyo financiero,
formacin, equipos y otros recursos necesarios para implementar cada control de forma eficaz.
El personal que implemente los controles debe registrar su progreso en un informe o serie de
informes que se enviarn al equipo de administracin de riesgos de seguridad y al comit directivo
de seguridad.
El Centro de instrucciones de seguridad de Microsoft (SGC), en
www.microsoft.com/security/guidance/default.mspx, constituye una coleccin exhaustiva y bien
organizada de documentacin que trata una amplia variedad de temas de seguridad. Las
orientaciones del sitio pueden ayudar a su organizacin a implementar controles seleccionados de
su lista de prioridades.
Nota: gran parte de esta seccin se ha elaborado a partir del sitio Web Microsoft Security Content
Overview en http://go.microsoft.com/fwlink/?LinkId=20263; visite este sitio para obtener las
orientaciones de seguridad normativas de Microsoft ms recientes.
El resto de esta seccin est organizado segn el modelo de defensa en profundidad de Microsoft
(ilustrado a continuacin). De forma similar a los modelos disponibles pblicamente que utilizan
otras organizaciones, el modelo de varios niveles de Microsoft organiza los controles en varias
categoras amplias. La informacin de cada seccin contiene recomendaciones y vnculos a
orientaciones normativas y notas del producto que describen los controles para proteger cada nivel
de una red. La orientacin normativa ofrece ayuda paso a paso para planear e implementar una
solucin integral. Esta gua se ha probado y validado exhaustivamente en entornos de cliente. Las
notas del producto y los artculos normalmente ofrecen buenas referencias tcnicas de las
caractersticas de los productos o de componentes de una solucin global; no pueden proporcionar
la gran cantidad de informacin que se halla en las orientaciones normativas.
Nota: el elemento "Seguridad fsica" del siguiente grfico no dispone de la seccin correspondiente
en este captulo en la que se recomienden recursos acerca del tema; Microsoft no ha publicado
todava una gua detallada al respecto.
Figura 6.2 Modelo de defensa en profundidad
Defensas de la red
Una arquitectura de red bien diseada e implementada correctamente proporciona servicios de alta
disponibilidad, seguros, escalables, fciles de administrar y confiables. Puede disponer de varias
redes en su organizacin y debe evaluar cada una individualmente para asegurarse de que tienen
una proteccin correcta o de que las redes de alto valor estn protegidas de las redes inseguras. La
implementacin de defensas de red internas incluye la consideracin del diseo de red adecuado, la
seguridad de red inalmbrica y, posiblemente, el uso de Seguridad del protocolo de Internet (IPSec)
para garantizar que slo los equipos de confianza tengan acceso a los recursos de red crticos.
Orientacin normativa
Para obtener orientacin normativa acerca de cmo proteger las redes con servidores de seguridad,
consulte Windows Server System Reference Architecture Enterprise Design for Firewalls, que forma
parte de Windows Server System Reference Architecture, en www.microsoft.com/spain/technet/
/seguridad/recursos/masinfo/practicas.asp.
Para obtener orientacin normativa adicional, consulte el captulo 15,"Seguridad en redes",
deImproving Web Application Security: Threats and Countermeasures, en
http://msdn.microsoft.com/library/default.asp?url=/library/en-us
/dnnetsec/html/threatcounter.asp.
Para obtener orientacin normativa acerca de la implementacin de LAN inalmbricas seguras
(WLAN) mediante EAP y certificados digitales, consulte Securing Wireless LANs: A Windows Server
2003 Certificate Services Solution en http://go.microsoft.com/fwlink/?LinkId=14843.
Para obtener orientacin normativa acerca de la implementacin de LAN inalmbricas seguras
(WLAN) con PEAP y contraseas, consulte Seguridad en LAN inalmbricas con PEAP y contraseas
en http://www.microsoft.com/spain/technet/recursos/articulos/peap_0.mspx.
Para obtener orientacin normativa acerca del uso de la segmentacin de red para mejorar la
seguridad y el rendimiento, consulte Windows Server System Reference Architecture: Enterprise
Design, que forma parte de Windows Server System Reference Architecture, en
www.microsoft.com/technet/itsolutions/techguide
/wssra/raguide/Network_Architecture_1.mspx.
Notas del producto y artculos
En el captulo 6, "Overview of IPSec Deployment", de "Deploying Network Services", uno de los
volmenes incluidos en el Kit de implementacin de Microsoft Windows Server 2003, en
www.microsoft.com/technet/prodtechnol
/windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp hay disponible informacin acerca
de la implementacin de IPSec.
En las notas del producto "Using Microsoft Windows IPSec to Help Secure an Internal Corporate
Network Server", en www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-
8851-b7a09e3f1dc9&DisplayLang=en, hay disponible informacin acerca del uso de IPSec.
Para obtener una explicacin ms amplia de la segmentacin de red y los problemas que puede
solucionar un diseo de red slido, consulte "Enterprise Design for Switches and Routers", que
forma parte de Windows Server System Reference Architecture, en
www.microsoft.com/technet/itsolutions/techguide
/wssra/raguide/Network_Devices_SB_1.mspx.
Para obtener informacin general acerca de los distintos tipos de servidores de seguridad
disponibles y cmo se utilizan habitualmente, consulte "Servidores de seguridad" en
www.microsoft.com/technet/security/topics/network/firewall.mspx.
En las siguientes notas del producto se puede encontrar ms informacin acerca del control de
cuarentena del acceso a la red:
"Network Access Quarantine Control in Windows Server 2003" en
www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx.
"Virtual Private Networking with Windows Server 2003: Overview" en
www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx.
Defensas de host
Los hosts son de dos tipos: clientes y servidores. La proteccin de ambos requiere conseguir un
equilibrio entre el grado de proteccin y el nivel de capacidad de uso. Aunque existen excepciones,
la seguridad de un equipo normalmente aumenta a medida que se reduce su capacidad de uso. Las
defensas de host pueden incluir deshabilitar servicios, quitar derechos de usuario especficos,
mantener actualizado el sistema operativo, as como utilizar antivirus y productos de servidor de
seguridad distribuidos.
Orientacin normativa
El sitio Web de administracin de revisiones de Microsoft incluye herramientas y guas para ayudar a
las organizaciones a probar, implementar y dar soporte tcnico a las actualizaciones de software de
un modo ms eficaz. Consulte:
http://www.microsoft.com/spain/technet/seguridad/areas/actualiza/default.asp.
Step-by-Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium
Businesses se encuentra en http://go.microsoft.com/fwlink/?linkid=19453.
Para obtener orientacin normativa acerca de cmo proteger Microsoft Windows XP, consulte
laGua de seguridad de Windows XP, en http://go.microsoft.com/fwlink/?LinkId=14839.
Para obtener orientacin normativa acerca de cmo proteger Microsoft Windows Server 2003,
consulte laGua de seguridad de Windows Server 2003, en
http://www.microsoft.com/spain/technet/seguridad/recursos/guias/guia_ws2003.asp.
Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows XP
constituye una gua de referencia de las principales configuraciones y caractersticas de seguridad
incluidas en Windows Server 2003 y Windows XP. Se ha diseado para proporcionar informacin de
referencia detallada para su uso con la Gua de seguridad de Windows Server 2003.Est disponible
en http://go.microsoft.com/fwlink/?LinkId=15159.
Para obtener orientacin normativa acerca de cmo proteger los servidores de Windows 2000,
consulteWindows 2000 Security Hardening Guide, en www.microsoft.com/downloads/details.aspx?
FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en.
Notas del producto y artculos
Los sistemas operativos y las aplicaciones de servidor de Microsoft utilizan distintos protocolos de
red para establecer comunicacin entre s y los equipos cliente que tienen acceso a ellos, incluidos
los puertos TCP (protocolo de control de transmisin) y UDP (protocolo de datagrama de usuario).
Muchos de estos puertos estn documentados en el artculo 832017 de Microsoft Knowledge Base,
"Port Requirements for Microsoft Windows Server System", en http://support.microsoft.com/?
kbid=832017.
"Preguntas ms frecuentes acerca del software antivirus" es un artculo breve que proporciona
informacin general de alto nivel del software antivirus y consejos acerca de cmo adquirir, instalar
y mantener estos tipos de productos. Est disponible en
www.microsoft.com/security/protect/antivirus.asp.
En "Frequently Asked Questions About Internet Firewalls" se describe la importancia de utilizar
servidores de seguridad, cundo resulta apropiado instalar software de servidor de seguridad en
equipos de usuario final y cmo resolver algunos de los problemas ms habituales relacionados con
el uso de este tipo de software. Est disponible en www.microsoft.com/security/protect/firewall.asp.
Defensas de aplicacin
Las defensas de aplicacin son fundamentales para el modelo de seguridad. Las aplicaciones existen
en el contexto del sistema global, por lo que debe tener en cuenta la seguridad de todo el entorno al
evaluar la seguridad de las aplicaciones. Se debe probar exhaustivamente el cumplimiento de
seguridad de cada aplicacin antes de ejecutarla en un entorno de produccin. La implementacin
de las defensas de aplicacin incluye una arquitectura de aplicaciones correcta, incluida la garanta
de que la aplicacin se ejecuta con el mnimo nivel de privilegio con la menor superficie de ataque
expuesta posible.
Orientacin normativa
En Exchange 2003 Hardening Guide se proporciona informacin acerca de cmo proteger Microsoft
Exchange 2003 Server. Est disponible en www.microsoft.com/downloads/details.aspx?
FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&displaylang=en.
En Security Operations Guide for Exchange 2000se proporciona informacin acerca de cmo
proteger Microsoft Exchange 2000 Server. Est disponible en
www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx.
En el captulo 18, "Seguridad en servidores de bases de datos", de la gua de la solucin Mejora de
la seguridad de aplicaciones Web: Amenazas y contramedidas se incluye informacin normativa
acerca de la proteccin de Microsoft SQL Server. Est disponible en http://msdn.microsoft.com/
library/default.asp?url=/library/en-us/dnnetsec/html/THCMCh18.asp.
En la gua de la solucin Mejora de la seguridad de aplicaciones Web: Amenazas y contramedidas se
proporciona una base slida para el diseo, la creacin y la configuracin de aplicaciones Web
ASP.NET seguras. Est disponible en http://msdn.microsoft.com/library/default.asp?url=/
library/en-us/dnnetsec/html/ThreatCounter.asp.
En la gua Building Secure ASP .NET Applicationsse presenta un enfoque prctico y basado en
escenarios para disear y crear aplicaciones ASP.NET seguras para Windows 2000 y la versin 1.0
de Microsoft .NET Framework. Se centra en los elementos clave de autenticacin, autorizacin y
comunicacin segura dentro de los niveles de las aplicaciones Web .NET distribuidas y entre ellos.
Est disponible en http://msdn.microsoft.com/library/
en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true.
Notas del producto y artculos
En las notas del producto "Building and Configuring More Secure Web Sites" se incluye informacin
detallada acerca de las lecciones que el equipo de seguridad de Microsoft ha aprendido durante el
concurso de seguridad en lnea OpenHack 4 de 2002 patrocinado por eWeek. La solucin
implementada para el concurso inclua .NET Framework, Microsoft Windows 2000 Advanced Server,
la versin 5.0 de Servicios de Internet Information Server (IIS) y SQL Server 2000. Esta solucin
resisti ms de 82.500 intentos de ataque y acab la competicin intacta. El documento est
disponible en http://msdn.microsoft.com/library/en-us/dnnetsec/html/
openhack.asp.
Defensas de datos
Los datos constituyen el recurso ms valioso de la mayora de las organizaciones. En el nivel de
cliente, los datos normalmente se almacenan localmente y pueden ser muy vulnerables a los
ataques. Los datos se pueden proteger de diferentes maneras, incluido el uso del servicio de
archivos de cifrado (EFS) y las copias de seguridad frecuentes y seguras.
Orientacin normativa
Para obtener informacin acerca de cmo realizar copias de seguridad de los datos en redes
Windows 2000, consulte la gua Backup and Restore Solution for Windows 2000 based Data Centers
en www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/backuprest
default.mspx.
Para obtener instrucciones paso a paso acerca de cmo implementar EFS, consulte Step-by-Step
Guide to Encrypting File System (EFS), que est disponible en
www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp.
Principio de la pgina
descritos en el captulo 4, "Evaluacin del riesgo", habr registrado esta informacin en la hoja de
clculo de Microsoft Excel denominada GARSHerramienta3-Asignacin de prioridades a los
riesgos de nivel detallado.xls, que se encuentra en la carpeta Herramientas y plantillas creada al
desempaquetar el archivo que contiene esta gua y los archivos relacionados.
La lista de prioridades de las soluciones de control que el comit directivo de seguridad ha
ingeniera de TI)
Estas responsabilidades se resumen en la siguiente lista:
Seguridad de informacin: crea informes de resumen para el comit directivo de seguridad en
relacin con la eficacia de las soluciones de control que se han implementado y acerca de los
cambios en el perfil de riesgo de la organizacin. Adems, crea y mantiene el clculo de riesgos
de seguridad de la organizacin.
Auditora interna: valida la eficacia de las soluciones de control.
Ingeniera de TI: comunica los cambios inminentes al equipo de administracin de riesgos de
seguridad.
Arquitectura de TI: comunica los cambios planeados al equipo de administracin de riesgos de
seguridad.
Operaciones de TI: ofrece informacin detallada relacionada con los sucesos de seguridad al
Resumen de la efectividad de las soluciones de Informe que resume el grado en que las soluciones
control de control estn mitigando el riesgo
Informacin que se recopilar Descripcin
Cambios en el perfil de riesgo de la organizacin Informe que muestra el modo en que las amenazas
identificadas anteriormente han cambiado debido a
otras nuevas amenazas, nuevas vulnerabilidades o
cambios en el entorno de los sistemas de
informacin de la organizacin
Clculo de riesgos de seguridad Breve clculo que ilustra el perfil de riesgo actual
de la organizacin
pero que se han mitigado gracias a los controles que el equipo de seguridad ha recomendado.
Tiempo necesario antes de que los servicios informticos estn restaurados por completo despus
Resumen
Durante la fase de implementacin de cambios, los responsables de mitigacin han implementado
las soluciones de control que el comit directivo de seguridad ha elegido durante la fase de apoyo a
la toma de decisiones. Los responsables de mitigacin tambin han proporcionado al equipo de
administracin de riesgos de seguridad informes acerca de su progreso con relacin a la
implementacin de las soluciones de control. En la cuarta fase del proceso de administracin de
riesgos de seguridad predominan las actividades continuas que se seguirn realizando hasta que el
equipo de administracin de riesgos de seguridad inicie el siguiente ciclo mediante una nueva
evaluacin de la seguridad. Entre estas actividades continuas se incluyen informes detallados que
explican los cambios en el entorno de los sistemas de informacin que estn en la fase de
planeamiento, documentan cambios en el entorno de los sistemas de informacin que estn a punto
de comenzar y explican los sucesos de seguridad no planeados que han afectado al entorno de los
sistemas de informacin.
Esta fase tambin incluye informes del equipo de administracin de riesgos de seguridad que
resumen el nivel de mitigacin de riesgos de las soluciones de control y un informe que muestra el
modo en que las amenazas identificadas anteriormente han cambiado debido a nuevas amenazas,
nuevas vulnerabilidades o cambios en el entorno de los sistemas de informacin de la organizacin.
Finalmente, esta fase incluye la creacin y el mantenimiento de un clculo de riesgos de seguridad
que demuestra el perfil de riesgo actual de la organizacin.
Principio de la pgina
Conclusin de la gua
En esta gua se ha presentado el enfoque de Microsoft para la administracin de riesgos de
seguridad. Se trata de un enfoque proactivo que puede ayudar a las organizaciones de cualquier
tamao a responder a las amenazas de seguridad que pueden comprometer el xito de sus
negocios. Un proceso de administracin de riesgos de seguridad formal permite que las empresas
funcionen del modo ms econmico con un nivel conocido y aceptable de riesgos de negocios y
ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los
recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administracin de
riesgos de seguridad se apreciarn al implementar controles asequibles que reduzcan el riesgo a un
nivel aceptable.
La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una
organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de
administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin,
recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de
riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin
para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o
vulnerabilidad de la empresa.
El proceso de administracin de riesgos de seguridad de Microsoft emplea estndares del sector
para ofrecer un hbrido de los modelos de administracin de riesgos establecidos en un proceso de
cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de
evaluacin de riesgos, los pasos cualitativos identifican rpidamente los riesgos ms importantes. A
continuacin viene un proceso cuantitativo que se basa en funciones y responsabilidades
cuidadosamente definidas. Este enfoque ofrece un gran nivel de detalle y conlleva una comprensin
amplia de los riesgos ms importantes. La combinacin de pasos cualitativos y cuantitativos en el
proceso de administracin de riesgos proporciona la base sobre la que pueden tomar decisiones
slidas acerca del riesgo y la mitigacin, siguiendo un proceso empresarial inteligente. Ahora que ha
ledo toda la gua, est preparado para iniciar el proceso; vuelva al captulo 4, "Evaluacin del
riesgo", para comenzar.