Documentos de Académico
Documentos de Profesional
Documentos de Cultura
pf=true
Gua de administracin de riesgos de seguridad
Captulo 4: Evaluacin del riesgo
Publicado: 15/10/2004
En esta pgina
Descripcin general
Planeamiento
ecopilacin de datos !acilitados
"signacin de prioridades a los riesgos
esumen
Descripcin general
El proceso de administracin de riesgos global consta de cuatro !ases principales: evaluacin de
riesgos# apo$o a la toma de decisiones# implementacin de controles $ medicin de la e!ectividad del
programa% El proceso de administracin de riesgos ilustra el modo en &ue un programa !ormal
proporciona un m'todo co(erente de organi)acin de recursos limitados para a!rontar los riesgos en
una organi)acin% *as venta+as se aprecian mediante el desarrollo de un entorno de control ase&uible
&ue a!ronte $ mida el riesgo a un nivel aceptable%
*a !ase de evaluacin de riesgos representa un proceso !ormal para identi!icar $ asignar prioridades a
los riesgos en la organi)acin% El proceso de administracin de riesgos de seguridad de ,icroso!t
proporciona indicaciones detalladas acerca de cmo reali)ar las evaluaciones de riesgos $ divide el
proceso de la !ase de evaluacin de riesgos en los tres pasos siguientes:
1% Planeamiento: establecer las bases para una evaluacin de riesgos correcta%
2% Recopilacin de datos facilitados: recopilar in!ormacin de riesgos mediante los debates
sobre riesgos !acilitados%
-% Asignacin de prioridades a riesgos: clasi!icar los riesgos identi!icados en un proceso
co(erente $ repetible%
El resultado de la !ase de evaluacin de riesgos es una lista de prioridades de los riesgos &ue
proporciona la in!ormacin para la !ase de apo$o a la toma de decisiones# &ue se trata en detalle en el
captulo 5# ."po$o a la toma de decisiones.%
En el siguiente diagrama se proporciona un resumen del proceso de administracin de riesgos global $
se muestra la !uncin de la evaluacin de riesgos en el con+unto del programa% /ambi'n se destacan
los tres pasos de la !ase de evaluacin de riesgos%
Figura 4.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de evaluacin de
riesgos
0er imagen a tama1o completo
En esta seccin se proporciona un breve resumen de los tres pasos de la !ase de evaluacin de
riesgos# la recopilacin de datos !acilitados $ asignacin de prioridades de riesgos% " continuacin# se
inclu$en secciones con tareas espec!icas para llevar a cabo una evaluacin de riesgos real en su
entorno%
Planeamiento
El planeamiento correcto de la evaluacin de riesgos es !undamental para el '2ito de todo el programa
de administracin de riesgos% 3i no se llevan a cabo adecuadamente las tareas de alineacin#
de!inicin de 4mbito $ obtencin de aceptacin de la !ase de evaluacin de riesgos# se reduce la
e!icacia de las dem4s !ases del programa global% *a elaboracin de las evaluaciones de riesgos puede
ser un proceso complicado &ue re&uiere una inversin importante para llevarlo a cabo% En la siguiente
seccin de este captulo se tratan las tareas $ las indicaciones !undamentales para el paso de
planeamiento%
Recopilacin de datos facilitados
Despu's del planeamiento# el siguiente paso consiste en recopilar la in!ormacin relacionada con
riesgos de los participantes de toda la organi)acin5 esta in!ormacin tambi'n se utili)ar4 en la !ase
de apo$o a la toma de decisiones% *os elementos de datos principales recopilados durante el paso de
recopilacin de datos !acilitados son:
Descripcin de los activos: breve e2plicacin de cada activo# su valor $ responsabilidad para
!acilitar la comprensin com6n en la !ase de evaluacin de riesgos%
!ulnera"ilidades: puntos d'biles o ausencia de controles &ue se pueden aprovec(ar para atacar
un activo%
Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores# las cuales o!recen
perspectiva% Puede &ue el e&uipo de evaluacin de riesgos tenga &ue reconciliar la nueva evaluacin
con el traba+o anterior%
$ncidencias de seguridad: utilice las incidencias anteriores para identi!icar los activos clave#
comprender el valor de los activos# identi!icar las vulnerabilidades predominantes $ resaltar las
de!iniciones de control%
Activos
*os activos de negocios pueden ser tangibles o intangibles% Debe de!inir cada tipo de activo de !orma
su!iciente para &ue los responsables de negocios puedan estipular el valor del activo para la
organi)acin% "mbas categoras de activos re&uieren &ue el participante proporcione estimaciones en
!orma de p'rdida monetaria directa o repercusiones !inancieras indirectas%
*os activos tangibles inclu$en la in!raestructura# como centros de datos# servidores $ propiedad% *os
activos intangibles inclu$en datos u otra in!ormacin digital &ue resulte valiosa para la organi)acin#
por e+emplo# transacciones bancarias# c4lculos de intereses $ planes $ especi!icaciones de desarrollo
de productos%
3eg6n resulte adecuado para su organi)acin# una tercera de!inicin de activo de servicio de /8 puede
ser 6til% El servicio de /8 es una combinacin de activos tangibles e intangibles% Por e+emplo# un
servicio de correo electrnico de /8 corporativo contiene servidores !sicos $ utili)a la red !sica5 sin
embargo# el servicio puede contener datos digitales con!idenciales% /ambi'n debe incluir el servicio de
/8 como un activo $a &ue# por lo general# tiene distintos responsables de datos $ activos !sicos% Por
e+emplo# el responsable del servicio de correo electrnico es el encargado de la disponibilidad para
tener acceso $ enviar correo electrnico% ?o obstante# el servicio de correo electrnico puede no ser
responsable de la con!idencialidad de los datos !inancieros del correo electrnico o los controles !sicos
&ue rodean a los servidores de correo electrnico% Atros e+emplos de servicios de /8 son: uso
compartido de arc(ivos# almacenamiento# redes# acceso remoto $ tele!ona%
#lases de activos
*os activos &ue se encuentren en el 4mbito de la evaluacin de riesgos se deben a una clase o grupo
cualitativo% *as clases !acilitan la de!inicin de las repercusiones globales de los riesgos de seguridad%
/ambi'n a$udan a la organi)acin a centrarse en primer lugar en los activos m4s cruciales% *os
distintos modelos de evaluacin de riesgos de!inen una serie de clases de activos% El proceso de
administracin de riesgos de seguridad de ,icroso!t utili)a tres clases de activos &ue !acilitan la
cuanti!icacin del valor del activo para la organi)acin% BPor &u' slo tres clasesC Estas tres
agrupaciones permiten una di!erenciacin su!iciente $ reducir el tiempo de debate $ seleccin de la
denominacin de clase adecuada%
El proceso de administracin de riesgos de seguridad de ,icroso!t de!ine las tres clases de activos
cualitativos siguientes: alta repercusin en la empresa# repercusin moderada en la empresa $
repercusin ba+a en la empresa% Durante el paso de asignacin de prioridades a los riesgos# el proceso
tambi'n proporciona orientacin para cuanti!icar los activos% 3eg6n resulte adecuado para la
organi)acin# puede optar por cuanti!icar los activos durante los debates de riesgos !acilitados% 3i lo
(ace# tenga en cuenta el tiempo necesario para lograr el consenso en la cuanti!icacin de los valores
monetarios durante el debate acerca de los riesgos% El proceso recomienda esperar (asta &ue se
(a$an identi!icado todos los riesgos $ posteriormente se les (a$a asignado prioridades para reducir el
n6mero de riesgos &ue necesitan m4s an4lisis%
*ota: para obtener in!ormacin adicional acerca de la de!inicin $ clasi!icacin de la in!ormacin $ los
sistemas de in!ormacin consulte los talleres de la publicacin especial D00=E0 de ?ational 8nstitute o!
3tandards and /ec(nolog$ 7?83/9# .,apping /$pes o! 8n!ormation and 8n!ormation 3$stems to
3ecurit$ Categories. $ la publicacin 1FF de Gederal 8n!ormation Processing 3tandards 7G8P39#
.3ecurit$ Categori)ation o! Gederal 8n!ormation and 8n!ormation 3$stems.%
Repercusin alta en la empresa
*as repercusiones en la con!idencialidad# la integridad o la disponibilidad de estos activos provocan
p'rdidas graves o catastr!icas para la organi)acin% *as repercusiones se pueden e2presar en
t'rminos !inancieros puros o pueden re!le+ar p'rdida indirecta o robo de instrumentos !inancieros#
productividad de la organi)acin# da1os a la reputacin o responsabilidad legal o normativa
importante% En la siguiente lista se o!recen unos cuantos e+emplos de la clase de repercusin alta en la
empresa:
Activos sometidos a re/uisitos normativos espec.ficos: ;*>"# <8P""# C" 3>1-DE $ directiva
de proteccin de datos de :E%
?otas de prensa publicadas# !olletos de producto# notas del producto $ documentos incluidos en los
productos publicados%
BKu' se est4 (aciendo actualmente para reducir la probabilidad o el alcance del da1o en el activoC
BCu4les son las acciones &ue se pueden adoptar para reducir la probabilidad en el !uturoC
Para el pro!esional de seguridad de in!ormacin# las preguntas anteriores se traducen en terminologa
$ categoras de evaluacin de riesgos espec!icas &ue se emplean para asignar prioridades a los
riesgos% ?o obstante# es posible &ue el participante no est' !amiliari)ado con dic(os t'rminos $ no
est' encargado de asignar prioridades a los riesgos% *a e2periencia demuestra &ue si se evita
terminologa de seguridad de in!ormacin# como amena)as# vulnerabilidades $ contramedidas# se
me+ora la calidad del debate $ permite &ue los participantes sin conocimientos t'cnicos no se sientan
intimidados% Atra venta+a de utili)ar t'rminos !uncionales para debatir el riesgo radica en &ue se
reduce la posibilidad de &ue otros t'cnicos discutan sutile)as de t'rminos espec!icos% En este punto
del proceso es muc(o m4s importante comprender las 4reas de ma$or riesgo &ue debatir de!iniciones
opuestas de amena)a $ vulnerabilidad% El responsable de evaluacin de riesgos debe esperar (asta el
!inal del debate para resolver dudas acerca de las de!iniciones $ terminologa de los riesgos%
0rganiacin por niveles de defensa en profundidad
El responsable de registro $ el responsable de evaluacin de riesgos recopilar4n grandes cantidades de
in!ormacin% :tilice el modelo de de!ensa en pro!undidad para !acilitar la organi)acin de los debates
correspondientes a todos los elementos de riesgo% Esta organi)acin proporciona una estructura $
a$uda al e&uipo de administracin de riesgos de seguridad a recopilar in!ormacin de riesgos en la
organi)acin% En la plantilla de debate de riesgos se inclu$e un e+emplo de niveles de de!ensa en
pro!undidad $ se ilustra en la !igura 4%2% En la seccin titulada .Argani)acin de las soluciones de
control. del captulo E# .8mplementacin de controles $ medicin de la e!ectividad del programa.# se
inclu$e una descripcin m4s detallada del modelo de de!ensa en pro!undidad%
Figura 4.1 Modelo de defensa en profundidad
Atra (erramienta 6til para complementar el modelo de de!ensa en pro!undidad es (acer re!erencia al
est4ndar 83A 1LLFF para organi)ar las preguntas $ respuestas relativas a los riesgos% <acer re!erencia
a un est4ndar e2(austivo como 83A 1LLFF tambi'n !acilita los debates acerca de los riesgos en
relacin con 4reas adicionales# por e+emplo# +urdica# directiva# proceso# personal $ desarrollo de
aplicaciones%
Definicin de amenaas & vulnera"ilidades
*a in!ormacin acerca de las amena)as $ vulnerabilidades proporciona la prueba t'cnica &ue se
emplea para asignar prioridades a los riesgos en una empresa% Debido a &ue muc(os participantes sin
conocimientos t'cnicos pueden no estar !amiliari)ados con las e2posiciones detalladas &ue a!ectan a
su empresa# es posible &ue el responsable de evaluacin de riesgos tenga &ue o!recer e+emplos &ue
contribu$an a iniciar el debate% Msta es un 4rea en la &ue resulta mu$ valiosa una investigacin previa
para a$udar a los responsables de negocios a detectar $ comprender el riesgo en sus propios
entornos% Como re!erencia# en 83A 1LLFF se de!inen las amena)as como una causa de repercusiones
posibles en la organi)acin% ?83/ de!ine una amena)a como un suceso o entidad con posibilidad de
da1ar el sistema% *as repercusiones derivadas de una amena)a normalmente se de!inen con
conceptos como con!idencialidad# integridad $ disponibilidad% <acer re!erencia a est4ndares del sector
resulta mu$ 6til al investigar amena)as $ vulnerabilidades%
Para el debate de riesgos !acilitado puede resultar 6til traducir las amena)as $ vulnerabilidades en
t'rminos conocidos para los participantes sin conocimientos t'cnicos% Por e+emplo# B&u' se intenta
evitarC o B&u' se teme &ue le suceda al activoC *a ma$ora de las repercusiones en la empresa se
pueden clasi!icar en con!idencialidad del activo# integridad o disponibilidad del activo para la
reali)acin de las actividades% 8ntente utili)ar este en!o&ue si los participantes tienen di!icultades para
entender el signi!icado de las amena)as para los activos organi)ativos% :n e+emplo (abitual de una
amena)a para la organi)acin es un ata&ue a la integridad de los datos !inancieros% Despu's de (aber
articulado lo &ue intenta evitar# la siguiente tarea consiste en determinar el modo en &ue las
amena)as se producen en la organi)acin%
:na vulnerabilidad es un punto d'bil de un activo o grupo de activos &ue una amena)a puede atacar%
De un modo simpli!icado# las vulnerabilidades proporcionan el mecanismo o el modo en &ue se pueden
producir las amena)as% Como re!erencia adicional# ?83/ de!ine la vulnerabilidad como una situacin o
punto d'bil en 7o la ausencia de9 los procedimientos de seguridad# controles t'cnicos# controles !sicos
u otros controles &ue puede aprovec(ar una amena)a% Como e+emplo# una vulnerabilidad (abitual de
los osas es la ausencia de actuali)aciones de seguridad% *a incorporacin de los e+emplos de amena)a
$ vulnerabilidad indicados anteriormente genera la siguiente declaracin: .los osas sin revisiones
pueden provocar un ata&ue a la integridad de la in!ormacin !inanciera &ue se encuentra en ellos.%
:n error (abitual al llevar a cabo una evaluacin de riesgos es centrarse en vulnerabilidades t'cnicas%
*a e2periencia demuestra &ue las vulnerabilidades m4s importantes se suelen producir debido a la
ausencia de un proceso de!inido o un control no adecuado de la seguridad de in!ormacin% ?o pase por
alto los aspectos organi)ativos $ de lidera)go de la seguridad durante el proceso de recopilacin de
datos% Por e+emplo# retomando la vulnerabilidad de actuali)aciones de seguridad anterior# la
imposibilidad de aplicar actuali)aciones en sistemas administrados puede conllevar un ata&ue a la
integridad de la in!ormacin !inanciera &ue se encuentra en dic(os sistemas% El control claro $ la
aplicacin de directivas de seguridad de in!ormacin suelen ser un problema organi)ativo en muc(as
empresas%
*ota: durante el proceso de recopilacin de datos puede reconocer grupos comunes de amena)as $
vulnerabilidades% ealice un seguimiento de estos grupos para determinar si con controles similares se
puede reducir la probabilidad de varios riesgos%
Estimacin de e,posicin de los activos
Despu's de &ue el responsable de evaluacin de riesgos diri+a el debate por la identi!icacin de
activos# amena)as $ vulnerabilidades# la siguiente tarea consiste en recopilar las estimaciones de los
participantes acerca del alcance de los da1os posibles al activo# independientemente de su de!inicin
de clase% El alcance de da1os posibles se de!ine como e2posicin del activo%
/al como se (a descrito anteriormente# el responsable de negocios es el encargado de identi!icar los
activos $ estimar la p'rdida posible para el activo o la organi)acin% " modo de revisin# la clase de
activos# la e2posicin $ la combinacin de amena)a $ vulnerabilidad de!inen las repercusiones globales
en la organi)acin% " continuacin# las repercusiones se combinan con la probabilidad para reali)ar la
declaracin de riesgo bien elaborada# tal como se (a de!inido en el captulo -%
El responsable de evaluacin de riesgos inicia el debate con los siguientes e+emplos de categoras
cualitativas de e2posicin posible para cada combinacin de amena)a $ vulnerabilidad asociada a un
activo:
0enta+a competitiva
*egal/normativo
Disponibilidad operativa
eputacin en el mercado
Por cada categora# a$ude a los participantes a situar las estimaciones en los tres grupos siguientes:
:n ata&ue de integridad mediante el robo de credenciales en los (osts de la *"? puede provocar un
nivel grave# o alto# de da1os% Esto es as# especialmente# en el caso de un ata&ue automati)ado &ue
pueda recopilar varias credenciales de asesor !inanciero en un breve perodo de tiempo%
:n ata&ue de integridad mediante el robo de credenciales en los (osts mviles tambi'n puede tener
un nivel grave# o alto# de da1os% El grupo de debate anota &ue las con!iguraciones de seguridad en
los (osts remotos normalmente van por detr4s de los sistemas *"?%
%area 8: $dentificar los controles e,istentes & la pro"a"ilidad de un ata/ue
:tilice el debate acerca de los riesgos para comprender me+or los puntos de vista de los participantes
del entorno de controles actual# sus opiniones acerca de la probabilidad de un ata&ue $ sus
sugerencias de controles propuestos% *os puntos de vista de los participantes pueden di!erir de la
implementacin real# pero proporcionan una re!erencia valiosa al grupo de seguridad de in!ormacin%
:tilice este punto del debate para recordar a los participantes sus !unciones $ responsabilidades en el
programa de administracin de riesgos% Documente los resultados en la plantilla%
E)emplo de 7oodgrove: despu's del debate acerca de la e2posicin posible para la empresa con las
amena)as $ vulnerabilidades identi!icadas# los participantes sin conocimientos t'cnicos no disponen de
su!iciente e2periencia para comentar la probabilidad de &ue un (ost est' en peligro en relacin a otro%
3in embargo# est4n de acuerdo en &ue los (osts remotos# o los (osts mviles# no reciben el mismo
nivel de administracin &ue los de la *"?% 3e debate la necesidad de &ue los asesores !inancieros
revisen peridicamente los in!ormes de actividad para detectar comportamientos no autori)ados% Estos
comentarios se recopilan $ los tendr4 en cuenta el e&uipo de administracin de riesgos de seguridad
durante la !ase de apo$o a la toma de decisiones%
Resumen del de"ate acerca de los riesgos
"l !inal del debate acerca de los riesgos# resuma brevemente los riesgos identi!icados para !acilitar el
cierre de la reunin% "simismo# recuerde a los participantes el proceso de administracin de riesgos
global $ calendario% *a in!ormacin recopilada en el debate acerca de los riesgos otorga a los
participantes una !uncin activa en el proceso de administracin de riesgos $ o!rece in!ormacin
valiosa al e&uipo de administracin de riesgos de seguridad%
E)emplo de 7oodgrove: el responsable de evaluacin de riesgos resume el debate $ destaca los
activos# amena)as $ vulnerabilidades &ue se (an tratado% /ambi'n describe el proceso de
administracin de riesgos global e in!orma al grupo de debate el (ec(o de &ue el e&uipo de
administracin de riesgos de seguridad (ar4 uso de su in!ormacin# $ la de otros# al estimar la
probabilidad de cada amena)a o vulnerabilidad%
Definicin de las declaraciones de consecuencias
*a 6ltima tarea del paso de recopilacin de datos !acilitados consiste en anali)ar la cantidad
posiblemente grande de in!ormacin recopilada durante los debates acerca de los riesgos% El resultado
de este an4lisis es una lista de declaraciones &ue describen el activo $ la e2posicin posible debido a
una amena)a $ vulnerabilidad% /al como se (a de!inido en el captulo -# estas declaraciones se
denominan declaraciones de repercusiones% *as repercusiones se determinan mediante la combinacin
de la clase de activos con el nivel de e2posicin posible para el activo% ecuerde &ue las repercusiones
son la mitad de la declaracin de riesgo5 las repercusiones se combinan con la probabilidad de &ue
suceda para completar la declaracin de riesgo%
El e&uipo de administracin de riesgos de seguridad crea las declaraciones de repercusiones mediante
la consolidacin de la in!ormacin recopilada en los debates acerca de los riesgos# la incorporacin de
las repercusiones identi!icadas anteriormente $# tambi'n# la inclusin de datos de repercusiones de
sus propias observaciones% El e&uipo de administracin de riesgos de seguridad es responsable de esta
tarea# pero debe solicitar in!ormacin adicional a los participantes seg6n sea necesario%
*a declaracin de repercusiones contiene el activo# la clase de activos# el nivel de de!ensa en
pro!undidad# la descripcin de la amena)a# la descripcin de la vulnerabilidad $ la clasi!icacin de
e2posicin% :tilice la in!ormacin registrada en la plantilla de recopilacin de datos para de!inir las
declaraciones de repercusiones para todos los debates !acilitados% En la !igura 4%4 se muestran los
encabe)ados de columna correspondientes de la plantilla de riesgo de nivel de resumen para recopilar
los datos espec!icos de repercusiones%
Figura 4.4 'o)a de tra"a)o de nivel de riesgo de resumen: columnas Activo & E,posicin
4-AR5'erramienta16
0er imagen a tama1o completo
E)emplo de 7oodgrove: la in!ormacin de e+emplo recopilada durante los debates acerca de los
riesgos se puede organi)ar mediante el desarrollo de declaraciones de repercusiones% El e&uipo de
administracin de riesgos de seguridad puede documentar las declaraciones de repercusiones
mediante !rases5 por e+emplo# .*a integridad de los datos de cliente de alto valor puede estar
amena)ada por el robo de credenciales de (osts administrados de !orma remota.% "un&ue este
en!o&ue es preciso# la elaboracin de !rases no sirve para una gran cantidad de riesgos debido a las
inco(erencias en la redaccin# la comprensin $ la ausencia de datos de organi)acin 7clasi!icacin o
consulta de riesgos9% :n en!o&ue m4s e!ica) consiste en asignar los datos de repercusiones a la tabla
de nivel de resumen tal como se muestra a continuacin%
Figura 4.8 E)emplo de 7oodgrove: $nformacin o"tenida durante el proceso de recopilacin de
datos 4-AR5'erramienta16
0er imagen a tama1o completo
*ota: en la siguiente seccin# titulada ."signacin de prioridades a los riesgos.# se proporcionan
indicaciones adicionales acerca de la seleccin $ documentacin de la clasi!icacin de e!ecto
empleadas en el proceso de riesgos de nivel de resumen%
Resumen de recopilacin de datos
,ediante la consolidacin de la in!ormacin obtenida durante los debates de recopilacin de datos en
declaraciones de repercusiones individuales# el e&uipo de administracin de riesgos de seguridad (a
concluido las tareas del paso de recopilacin de datos !acilitados de la !ase de evaluacin de riesgos%
En la siguiente seccin# ."signacin de prioridades a los riesgos.# se detallan las tareas de la
asignacin de prioridades a los riesgos% Durante la asignacin de prioridades# el e&uipo de
administracin de riesgos de seguridad se encarga de estimar la probabilidad de cada declaracin de
repercusiones% " continuacin# dic(o e&uipo combina las declaraciones de repercusiones con sus
estimaciones de probabilidad de &ue suceda% El resultado es una lista e2(austiva de riesgos con
prioridades# lo &ue conclu$e la !ase de evaluacin de riesgos%
"l anali)ar los riesgos se pueden identi!icar riesgos &ue dependen de &ue otros se produ)can% Por
e+emplo# si se produce un incremento de privilegio en un activo de repercusin ba+a en la empresa# se
puede &uedar e2puesto un activo de repercusin alta en la empresa% Este e+ercicio es v4lido5 no
obstante# las dependencias de los riesgos pueden llegar a generar una cantidad ingente de datos &ue
se tienen &ue recopilar# administrar $ (acer un seguimiento de ellos% El proceso de administracin de
riesgos de seguridad de ,icroso!t recomienda destacar las dependencias seg6n sea !actible# pero
normalmente no es rentable administrar todas las dependencias de los riesgos% El ob+etivo global es
identi!icar $ administrar los riesgos de m42ima prioridad para la empresa%
Principio de la p4gina
Asignacin de prioridades a los riesgos
/al como se (a tratado en la seccin anterior# el paso de recopilacin de datos !acilitados de!ine las
tareas para elaborar una lista de declaraciones de repercusiones para identi!icar los activos
organi)ativos $ sus posibles repercusiones% En esta seccin se describe el siguiente paso de la !ase de
evaluacin de riesgos: la asignacin de prioridades a los riesgos% El proceso de asignacin de riesgos
incorpora el elemento de probabilidad a la declaracin de repercusiones% ecuerde &ue una
declaracin de riesgo bien elaborada re&uiere tanto las repercusiones para la organi)acin como la
probabilidad de &ue se produ)can% El proceso de asignacin de prioridades se puede considerar como
el 6ltimo paso en la .de!inicin de los riesgos m4s importantes para la organi)acin.% 3u resultado
!inal es una lista de prioridades de riesgos &ue se utili)ar4 como la in!ormacin para el proceso de
apo$o a la toma de decisiones &ue se describe en el captulo 5# ."po$o a la toma de decisiones.%
El grupo de seguridad de in!ormacin es el 6nico responsable del proceso de asignacin de
prioridades% El e&uipo puede consultar a participantes con conocimientos t'cnicos $ sin dic(os
conocimientos# pero es su responsabilidad determinar la probabilidad de las repercusiones posibles
para la organi)acin%
,ediante la aplicacin del proceso de administracin de riesgos de seguridad de ,icroso!t# el nivel de
probabilidad tiene la capacidad de incrementar la toma de conciencia de un riesgo a los m42imos
niveles de la organi)acin o puede reducirla tanto &ue el riesgo se pueda aceptar sin m4s debate% *a
estimacin de la probabilidad de riesgo re&uiere &ue el e&uipo de administracin de riesgos de
seguridad dedi&ue muc(o tiempo a evaluar e2(austivamente cada combinacin de amena)a $
vulnerabilidad de prioridad% Cada combinacin se eval6a seg6n los controles actuales para tener en
cuenta la e!icacia de dic(os controles &ue pueda in!luir en la probabilidad de repercusiones para la
organi)acin% Este proceso puede resultar abrumador para organi)aciones grandes $ puede
comprometer la decisin inicial de invertir en un programa de administracin de riesgos !ormal% Para
reducir el tiempo dedicado a la asignacin de prioridades a los riesgos# el proceso se puede dividir en
dos tareas: un proceso de nivel de resumen $ otro de nivel detallado%
En el proceso de nivel de resumen se genera una lista de riesgos con prioridades mu$ r4pidamente#
similar a los procedimientos de seleccin &ue se utili)an en las (abitaciones de urgencias (ospitalarias
para garanti)ar &ue se o!rece a$uda a los pacientes &ue m4s la necesitan en primer lugar% ?o
obstante# el inconveniente es &ue se produce una lista &ue slo contiene comparaciones de alto nivel
entre los riesgos% :na larga lista de nivel de resumen de los riesgos en &ue cada uno se considere alto
no proporciona su!icientes indicaciones al e&uipo de administracin de riesgos de seguridad ni le
permite asignar prioridades a las estrategias de mitigacin% En todo caso# los e&uipos pueden clasi!icar
r4pidamente los riesgos para identi!icar los riesgos altos $ moderados# lo &ue permite &ue el e&uipo de
administracin de riesgos de seguridad centre sus es!uer)os slo en los riesgos &ue parecen m4s
importantes%
En el proceso de nivel detallado se elabora una lista con m4s detalle &ue permite di!erenciar
!4cilmente los riesgos entre s% *a vista de riesgos detallada permite la clasi!icacin apilada de los
riesgos $ tambi'n inclu$e una vista m4s detallada del posible e!ecto !inanciero derivado del riesgo%
Este elemento cuantitativo !acilita el c4lculo de costos de los debates de controles en el proceso de
apo$o a la toma de decisiones# &ue se describe en el siguiente captulo%
"lgunas organi)aciones pueden optar por no elaborar una lista de riesgos de nivel de resumen% 3i no
se anali)a# puede parecer &ue esta estrategia a(orra tiempo# pero no es as% ,inimi)ar el n6mero de
riesgos en la lista de nivel detallado# en 6ltima instancia# (ace &ue el proceso de evaluacin de riesgos
sea m4s e!ica)% :n ob+etivo principal del proceso de administracin de riesgos de seguridad de
,icroso!t es simpli!icar el proceso de evaluacin de riesgos mediante el e&uilibrio entre la granularidad
agregada al an4lisis de riesgos $ el es!uer)o necesario para calcular el riesgo% 3imult4neamente#
intenta promover $ conservar la claridad en relacin con la lgica in(erente para &ue los participantes
dispongan de una comprensin clara de los riesgos para la organi)acin%
"lgunos riesgos pueden tener la misma clasi!icacin en la lista de resumen $ en la detallada5 no
obstante# las clasi!icaciones o!recen su!iciente in!ormacin para determinar si el riesgo es importante
para la organi)acin $ si debe pasar al proceso de apo$o a la toma de decisiones%
*ota: el ob+etivo !inal de la !ase de evaluacin de riesgos es de!inir los m4s importantes para la
organi)acin% El ob+etivo de la !ase de apo$o a la toma de decisiones es determinar lo &ue se debe
(acer para solucionarlos%
*os e&uipos normalmente se estancan en esta etapa mientras los participantes debaten la importancia
de varios riesgos% Para reducir los posibles retardos# apli&ue las siguientes tareas seg6n resulte
adecuado para su organi)acin:
1% 3in emplear t'rminos t'cnicos# de!ina los riesgos de nivel alto $ medio para la organi)acin
antes de iniciar el proceso de asignacin de prioridades%
2% Centre la atencin en los riesgos &ue est4n en el lmite entre los niveles alto $ medio%
-% Evite debatir el modo de a!rontar los riesgos antes de decidir si es importante% Preste atencin
a los participantes &ue tengan soluciones preconcebidas en mente $ bus&uen resultados para
proporcionar +usti!icacin al pro$ecto%
En el resto de esta seccin se tratan los !actores de '2ito $ las tareas para crear las clasi!icaciones de
riesgos de nivel de resumen $ detallado% En las siguientes tareas $ en la !igura 4%E se o!rece
in!ormacin general de la seccin $ los componentes clave del proceso de asignacin de prioridades a
los riesgos%
%areas & componentes principales
%area 1: elaborar la lista de nivel de resumen mediante clasi!icaciones amplias para estimar la
probabilidad de repercusiones para la organi)acin%
Resultado: lista de nivel de resumen para identi!icar r4pidamente la prioridad de los riesgos
para la organi)acin%
%area 1: revisar la lista de nivel de resumen con los participantes para empe)ar a alcan)ar
consenso en la prioridad de los riesgos $ seleccionar los riesgos para la lista de nivel detallado%
%area 3: elaborar la lista de nivel detallado mediante el e2amen de los atributos detallados del
riesgo en el entorno de negocios actual% Esto inclu$e indicaciones para determinar la estimacin
cuantitativa de cada riesgo%
Resultado: lista de nivel detallado &ue proporciona in!ormacin e2(austiva de los riesgos
principales para la organi)acin%
Figura 4.9 %areas de asignacin de prioridades a los riesgos
0er imagen a tama1o completo
*ota: el resultado de riesgos de nivel detallado se revisar4 con los participantes en el proceso de
apo$o a la toma de decisiones descrito en el captulo 5%
Preparacin para el +,ito
*a asignacin de prioridades a los riesgos para la organi)acin no es una mera propuesta% El e&uipo de
administracin de riesgos de seguridad debe intentar predecir el !uturo mediante la estimacin de
cu4ndo $ cmo las posibles repercusiones pueden a!ectar a la organi)acin $# a continuacin# debe
+usti!icar estas predicciones ante los participantes% :n error (abitual &ue cometen muc(os e&uipos es
.ocultar. las tareas empleadas para determinar la probabilidad $ utili)ar c4lculos para representar la
probabilidad en porcenta+es u otras ci!ras de resultados a las &ue suponen &ue los responsables de
negocios responder4n m4s r4pidamente% Pero la e2periencia al desarrollar el proceso de
administracin de riesgos de seguridad de ,icroso!t (a demostrado &ue los participantes son m4s
propensos a aceptar los an4lisis del e&uipo de administracin de riesgos de seguridad si la lgica es
clara durante el proceso de asignacin de prioridades% El proceso se centra en la comprensin por
parte de los participantes a lo largo del mismo% *a lgica de asignacin de prioridades debe ser lo m4s
simple posible para lograr el consenso r4pidamente $ reducir los malentendidos% *a e2periencia en
elaboracin de evaluaciones de riesgos en el departamento de /8 de ,icroso!t $ otras empresas (a
demostrado &ue las siguientes pr4cticas recomendadas resultan 6tiles para el e&uipo de
administracin de riesgos de seguridad durante el proceso de asignacin de prioridades:
"nali)ar los riesgos durante el proceso de recopilacin de datos% Debido a &ue la asignacin de
prioridades a los riesgos puede ocupar muc(o tiempo# intente anticiparse a los riesgos
controvertidos e inicie el proceso de asignacin de prioridades lo m4s pronto posible% Este m'todo
abreviado es posible debido a &ue el e&uipo de administracin de riesgos de seguridad es el 6nico
responsable del proceso de asignacin de prioridades%
*leve a cabo la investigacin para generar credibilidad para estimar la probabilidad% :tilice los
in!ormes de auditora anteriores $ tenga en cuenta las tendencias del sector as como las
incidencias de seguridad internas seg6n resulte adecuado% 0uelva a consultar a los participantes
seg6n sea necesario para obtener in!ormacin acerca de los controles actuales $ la toma de
conciencia de los riesgos espec!icos en sus entornos%
Programe tiempo su!iciente en el pro$ecto para llevar a cabo investigaciones $ reali)ar an4lisis de la
e!ectividad $ las capacidades del entorno de controles actual%
Comunicar el riesgo en t'rminos de negocios% Evite utili)ar e2presiones relacionadas con el miedo o
+erga t'cnica en el an4lisis de asignacin de prioridades% El e&uipo de administracin de riesgos de
seguridad debe comunicar el riesgo en unos t'rminos &ue la organi)acin comprenda $ evitar la
tentacin de e2agerar el nivel de peligro%
econciliar los nuevos riesgos con los anteriores% "l crear la lista de nivel de resumen# incorpore los
riesgos de las evaluaciones anteriores% Esto permite &ue el e&uipo de administracin de riesgos de
seguridad realice un seguimiento de los riesgos en varias evaluaciones $ proporcione la ocasin de
actuali)ar los elementos de riesgo anteriores seg6n sea necesario% Por e+emplo# si un riesgo anterior
no se (a mitigado debido a los altos costos de mitigacin# revise la probabilidad de &ue el riesgo se
produ)ca $ vuelva a tener en cuenta los cambios en la solucin o costos de mitigacin%
Asignacin de prioridades a los riesgos de seguridad
En la siguiente seccin se e2plica el proceso de elaboracin de las listas de riesgos de nivel de
resumen $ detallado% Puede resultar 6til imprimir las plantillas de apo$o para cada proceso &ue se
encuentran en la seccin de (erramientas%
Asignacin de prioridades a riesgos de nivel de resumen
*a lista de nivel de resumen utili)a la declaracin de repercusiones generada durante el proceso de
proceso de recopilacin de datos% *a lista de declaracin de repercusiones es el primero de los dos
elementos de in!ormacin de la vista de resumen% El segundo elemento de in!ormacin es la
estimacin de probabilidades &ue (a determinado el e&uipo de administracin de riesgos de seguridad%
En las siguientes tres tareas se proporciona in!ormacin general acerca del proceso de asignacin de
prioridades de nivel de resumen:
Riesgos de nivel alto: los riesgos clasi!icados como altos se deben incluir en la lista detallada%
Cada riesgo alto debe tener una resolucin despu's del proceso de apo$o a la toma de decisiones5
por e+emplo# aceptar el riesgo o desarrollar una solucin de mitigacin%
Riesgos dudosos: cree el an4lisis de asignacin de prioridades detallado para riesgos moderados
&ue re&uieren una resolucin% En algunas organi)aciones se pueden llegar a incluir todos los riesgos
moderados en la lista detallada%
*os asesores !iscales slo pueden tener acceso a las cuentas de las &ue son responsables5 por lo
tanto# la e2posicin es in!erior al 100N%
" todos los usuarios se les envan proactivamente avisos por correo electrnico para &ue se
apli&uen revisiones a los (osts o se actualicen%
El estado de las actuali)aciones de antivirus $ de seguridad se mide $ aplica en la *"? cada pocas
(oras% Este control reduce el intervalo de tiempo en el &ue los (osts de la *"? son vulnerables a los
ata&ues%
%area 3: determinar la pro"a"ilidad de repercusiones
*a clasi!icacin de probabilidad consta de dos valores% El primer valor determina la probabilidad de la
vulnerabilidad e2istente en el entorno seg6n los atributos de la misma $ al ata&ue posible% El segundo
valor determina la probabilidad de la vulnerabilidad e2istente en !uncin de la e!ectividad de los
controles actuales% Cada valor se representa mediante un intervalo de 1 a 5% :tilice las siguientes
!iguras como orientacin para determinar la probabilidad de cada repercusin en la organi)acin% "
continuacin# la clasi!icacin de probabilidad se multiplicar4 por la clasi!icacin de e!ecto para
determinar la clasi!icacin de riesgo relativo%
*ota: las !iguras 4%15 $ 4%1L (an servido de a$uda al departamento de /8 de ,icroso!t a comprender
las probabilidades de &ue los riesgos se produ)can en sus entornos% "+uste el contenido seg6n resulte
adecuado para su organi)acin%
El grupo de seguridad de in!ormacin se encarga del proceso de asignacin de prioridades $ debe
adaptar los atributos de las prioridades seg6n sea necesario% Por e+emplo# puede modi!icar las ci!ras
para centrarse en vulnerabilidades espec!icas de aplicacin en ve) de en vulnerabilidad de
in!raestructura empresarial si el 4mbito de evaluacin est4 centrado en el desarrollo de aplicaciones%
El ob+etivo es disponer de un con+unto co(erente de criterios para evaluar el riesgo en el entorno%
En la siguiente !igura se inclu$en estos atributos de vulnerabilidad:
Acceso remoto & local: la probabilidad normalmente aumenta si una vulnerabilidad se puede
aprovec(ar de !orma remota%
Costo de reempla)o
Costos de sustentacin/mantenimiento
Costos de redundancia/disponibilidad
eputacin de la organi)acin/mercado
Productividad de la organi)acin
8ngresos anuales
0enta+a competitiva
esponsabilidad +urdica/normativa
*ota: la (o+a de c4lculo ;"3<erramienta-="signacin de prioridades a los riesgos de nivel detallado
contiene una (o+a de traba+o &ue puede !acilitar este proceso%
Despu's de disponer de las estimaciones monetarias de cada categora# sume los valores para
determinar la estimacin del activo% epita este proceso para todos los activos representados en la
clase de repercusin alta en la empresa% El resultado debe ser una lista de activos con prioridades $
una estimacin apro2imada de su valor monetario asociado para la organi)acin% epita este proceso
para los activos de las clases de repercusin moderada $ ba+a en la empresa%
Con cada clase de activos# seleccione un valor monetario para representar la valoracin de la clase de
activos% :n en!o&ue conservador consiste en seleccionar el valor de activo mnimo en cada clase% 3e
utili)ar4 para representar el valor de un activo seg6n la clase de activos seleccionada por los
participantes durante los debates de recopilacin de datos !acilitados% Este en!o&ue simpli!ica la tarea
de asignar valores monetarios a cada activo $a &ue se emplean las clases de activos seleccionadas en
los debates de recopilacin de datos%
*ota: otro en!o&ue para valorar los activos consiste en traba+ar con el e&uipo de administracin de
riesgos !inancieros &ue puede disponer de una tasacin de seguros $ datos de cobertura para activos
espec!icos%
@so de la importancia relativa como orientacin
3i tiene di!icultades para seleccionar los valores de clase de activos con el m'todo anterior# otro
en!o&ue consiste en emplear las directrices asociadas a la de!inicin de importancia relativa en los
estados !inancieros elaborados por las empresas de EE%::% con participacin en el mercado de
valores% *a comprensin de las directrices de importancia relativa por parte de su organi)acin puede
resultar 6til en la seleccin del valor de activo alto para la estimacin cuantitativa%
El organismo Ginancial "ccounting 3tandards >oard 7G"3>9 documenta lo siguiente en relacin con los
estados !inancieros de las empresas con participacin en el mercado de valores: .las disposiciones de
este estado no se tienen &ue aplicar a los elementos inmateriales.% Para obtener m4s in!ormacin#
consulte III%sec%gov/interps/account/sabFF%(tm%
Es importante tener en cuenta este pasa+e por&ue la G"3> no dispone de un algoritmo para
determinar lo &ue es material o inmaterial $ advierte en contra del uso de m'todos cuantitativos
estrictos% En su lugar# recomienda espec!icamente tener en cuenta todas las consideraciones
pertinentes: .la G"3> rec(a)a un en!o&ue !ormulista como alivio de Ola pesada tarea de tomar
decisiones acerca de la importancia relativaO en !avor de un en!o&ue &ue tenga en cuenta todas las
consideraciones pertinentes.%
"un&ue no e2iste una !rmula# el organismo 3ecurit$ E2c(ange Commission de EE%::# en el n6mero
FF de 3ta!! "ccounting >ulletin# reconoce el uso de una regla general de re!erencia en la contabilidad
p6blica &ue puede servir de a$uda para determinar las declaraciones errneas de activos materiales%
Para obtener m4s in!ormacin# consulte III%sec%gov/interps/account/sabFF%(tm% *a regla general de
re!erencia mencionada es el cinco por ciento de los valores del estado !inanciero% Por e+emplo# una
!orma de estimar la importancia relativa de un ingreso neto de oc(o mil millones de dlares sera
anali)ar las posibles declaraciones errneas de 400 millones de dlares o el con+unto de declaraciones
errneas &ue puedan sumar 400 millones de dlares%
*as directrices de importancia material varan considerablemente seg6n la organi)acin% :tilice las
directrices de de!inicin de importancia relativa slo como re!erencia% El proceso de administracin de
riesgos de seguridad de ,icroso!t en modo alguno pretende representar la posicin !inanciera de una
organi)acin%
El uso de las directrices de importancia relativa puede resultar 6til para estimar el valor de los activos
de repercusin alta en la empresa% ?o obstante# dic(as directrices pueden no resultar adecuadas al
seleccionar estimaciones moderadas $ ba+as% 3e (a de reconocer &ue la elaboracin de la estimacin
de repercusiones es sub+etiva por naturale)a% El ob+etivo es seleccionar valores &ue sean signi!icativos
para la organi)acin% Para determinar los valores moderados $ ba+os# es aconse+able seleccionar un
valor monetario &ue sea signi!icativo en relacin con el importe dedicado a la tecnologa de la
in!ormacin en la organi)acin% /ambi'n puede optar por (acer re!erencia a los costos actuales de los
controles espec!icos de seguridad &ue se aplicar4n a cada clase de activos% Por e+emplo# en el caso de
los activos de clase de repercusin moderada# se puede comparar el valor con el gasto monetario
actual en controles b4sicos de in!raestructura de red% Por e+emplo# Bcu4l es el costo total estimado
para so!tIare# (ardIare $ recursos operativos para proporcionar servicios antivirus a la organi)acinC
Esto proporciona una re!erencia para comparar los activos con un importe monetario conocido en la
organi)acin5 otro e+emplo: un valor de clase de repercusin moderada puede valorarse tanto como el
gasto actual en servidores de seguridad para proteger los activos%
E)emplo de 7oodgrove: el e&uipo de administracin de riesgos de seguridad de Joodgrove (a
traba+ado con los participantes clave para asignar valores monetarios a las clases de activos% Debido a
&ue en Joodgrove no tenan e2periencia en administracin de riesgos# la empresa decidi utili)ar las
directrices de importancia relativa con el !in de elaborar una lnea de base para valorar activos% Piensa
revisar las estimaciones a medida &ue ad&uiera e2periencia% Joodgrove genera un ingreso neto
apro2imado de 200 millones de dlares al a1o% "l aplicar el 5N de las directrices de importancia
relativa# a la clase de activos de repercusin alta en la empresa se le asigna un valor de 10 millones
de dlares% 3eg6n los gastos en /8 anteriores &ue se (an producido en Joodgrove# los participantes
(an seleccionado un valor de 5 millones de dlares para los activos de repercusin media $ 1 milln de
dlares para los de repercusin ba+a% 3e (an seleccionado estos valores por&ue los grandes pro$ectos
de /8 emprendidos para dar apo$o $ proteger los activos digitales en Joodgrove (istricamente (an
estado en estos intervalos% Dic(os valores tambi'n se volver4n a revisar durante el siguiente ciclo de
administracin de riesgos anual%
%area 1: identificar el valor del activo
Despu's de determinar los valores de las clases de activos de la organi)acin# identi!i&ue $ seleccione
el valor adecuado para cada riesgo% El valor de clase de activos debe estar alineado con el grupo de
clase de activos seleccionado por los participantes en los debates de recopilacin de datos% 3e trata de
la misma clase &ue se utili)a en las listas de riesgos de nivel de resumen $ detallado% Este en!o&ue
reduce el debate acerca del valor de un activo espec!ico por&ue el valor de clase de activos $a se (a
determinado% ecuerde &ue el proceso de administracin de riesgos de seguridad de ,icroso!t intenta
alcan)ar un e&uilibrio entre precisin $ e!icacia%
E)emplo de 7oodgrove: los datos !inancieros de consumidor se (an identi!icado como de
repercusin alta en la empresa durante los debates de recopilacin de datos5 por lo tanto# el valor de
activo es de 10 millones de dlares seg6n el valor de repercusin alta de!inido anteriormente%
%area 3: generar el valor de e,pectativa de p+rdida simple
" continuacin# determinar4 el alcance de los da1os en el activo% :tilice la misma clasi!icacin de
e2posicin identi!icada en los debates de recopilacin de datos para determinar el porcenta+e de da1os
en el activo% Este porcenta+e se denomina !actor de e2posicin% 3e utili)a la misma clasi!icacin en las
listas de riesgos de nivel de resumen $ detallado% En en!o&ue conservador consiste en aplicar una
escala mvil lineal para cada valor de clasi!icacin de e2posicin% El proceso de administracin de
riesgos de seguridad de ,icroso!t recomienda una escala mvil de 20N para cada valor de
clasi!icacin de e2posicin% Puede modi!icarla seg6n resulte adecuado para su organi)acin%
*a 6ltima tarea consiste en multiplicar el valor de activo por el !actor de e2posicin para generar la
estimacin cuantitativa de las repercusiones% En los modelos cuantitativos cl4sicos este valor se
denomina e2pectativa de p'rdida simple# por e+emplo# el valor de activo multiplicado por el !actor de
e2posicin%
En la siguiente !igura se proporciona como re!erencia un e+emplo de un en!o&ue cuantitativo simple%
/enga en cuenta &ue en el e+emplo siguiente simplemente se divide la clase de repercusin alta en la
empresa por la mitad para determinar los valores moderados $ ba+os% Es posible &ue tenga &ue
a+ustar estos valores a medida &ue ad&uiera e2periencia en el proceso de evaluacin de riesgos%
Figura 4.11 'o)a de tra"a)o de anlisis de riesgos: cuantificacin de la e,pectativa de p+rdida
simple 4-AR5'erramienta36
0er imagen a tama1o completo
E)emplo de 7oodgrove: en la siguiente !igura se representan los valores para determinar la
e2pectativa de p'rdida simple de los dos riesgos de e+emplo%
Figura 4.13 E)emplo de e,pectativa de p+rdida simple de 7oodgrove 2an=A nota: el valor en
dlares se e,presa en millones 4-AR5'erramienta36
0er imagen a tama1o completo
%area 4: determinar la frecuencia anual
Despu's de calcular la e2pectativa de p'rdida simple# se tiene &ue incorporar la probabilidad para
concluir la estimacin de riesgo monetario% :n en!o&ue com6n consiste en estimar la !recuencia con
&ue se puede producir el riesgo en el !uturo% Esta estimacin despu's se convierte en una estimacin
anual% Por e+emplo# si el grupo de seguridad de in!ormacin piensa &ue un riesgo se puede producir
dos veces al a1o# la !recuencia anual es dos% 3i un riesgo se puede producir una ve) cada tres a1os# la
!recuencia anual es un tercio# --N o 0#--% Como a$uda para estimar la probabilidad# utilice el an4lisis
cuantitativo anterior en el c4lculo de riesgo detallado% :tilice lo siguiente como orientacin para
identi!icar $ comunicar el valor cuantitativo con el !in de determinar la !recuencia anual%
Figura 4.14 #uantificacin de la frecuencia anual 4-AR5'erramienta36
0er imagen a tama1o completo
:tilice la !igura anterior slo como orientacin% El grupo de seguridad de in!ormacin debe seleccionar
un valor para representar la !recuencia anual%
E)emplo de 7oodgrove: el e&uipo de administracin de riesgos de seguridad determina las
siguientes !recuencias anuales para los riesgos de e+emplo:
1% Grecuencia anual de (osts de *"?: seg6n la evaluacin cualitativa de probabilidad media# el
e&uipo de administracin de riesgos de seguridad estima &ue el riesgo se presentar4 al menos
una ve) cada dos a1os5 por lo tanto# la !recuencia anual estimada es 0#5%
2% Grecuencia anual de (osts remotos: de nuevo# seg6n la evaluacin cualitativa de probabilidad
alta# el e&uipo de administracin de riesgos de seguridad estima &ue el riesgo se presentar4 al
menos una ve) al a1o5 por lo tanto# la !recuencia anual estimada es 1%
%area 8: determinar la e,pectativa de p+rdida anual
Para concluir la ecuacin cuantitativa# multipli&ue la !recuencia anual por la e2pectativa de p'rdida
simple% El producto se representa como la e2pectativa de p'rdida anual%
E2pectativa de p'rdida anual P e2pectativa de p'rdida simple Q !recuencia anual
Con la e2pectativa de p'rdida anual se intenta representar el costo posible del riesgo en t'rminos
anuales% "un&ue puede servir de a$uda a los participantes con mentalidad !inanciera para estimar los
costos# el e&uipo de administracin de riesgos de seguridad tiene &ue volver a incidir en el (ec(o de
&ue las repercusiones en la organi)acin no se a+ustan e2actamente a los gastos anuales% 3i se
produce un riesgo# las repercusiones en la organi)acin se pueden producir por completo%
Despu's de determinar la estimacin cuantitativa del riesgo# consulte la (o+a de traba+o de riesgos
detallados# &ue contiene una columna adicional para documentar re!erencias o e2plicaciones &ue
desee incluir con la estimacin cuantitativa% :tilice esta columna para !acilitar la +usti!icacin de la
estimacin cuantitativa $ aportar pruebas seg6n resulte adecuado%
E)emplo de 7oodgrove: en la siguiente tabla se muestran los c4lculos b4sicos con el !in de
determinar la e2pectativa de p'rdida anual para cada riesgo de e+emplo% /enga en cuenta &ue cambiar
un valor puede modi!icar considerablemente el valor de e2pectativa de p'rdida anual% :tilice los datos
cualitativos para !acilitar la +usti!icacin $ la determinacin de la estimacin cuantitativa%
Figura 4.18 E)emplo de e,pectativa de p+rdida anual de 7oodgrove 2an=A nota: los valores en
dlares se e,presan en millones 4-AR5'erramienta36
0er imagen a tama1o completo
Principio de la p4gina
Resumen
*a !ase de evaluacin de riesgos del ciclo de administracin de riesgos es necesaria para administrar
los riesgos en la organi)acin% "l llevar a cabo los pasos de planeamiento# recopilacin de datos
!acilitados $ asignacin de prioridades# recuerde &ue el propsito de la !ase de evaluacin de riesgos
no es slo identi!icar $ asignar prioridades a los riesgos# sino (acerlo de un modo e!ica) $ oportuno% El
proceso de administracin de riesgos de seguridad de ,icroso!t utili)a un en!o&ue (brido de an4lisis
cualitativo para identi!icar $ clasi!icar r4pidamente los riesgos5 a continuacin# emplea los atributos
!inancieros del an4lisis cuanti!icado para o!recer una de!inicin m4s precisa de los riesgos%
Facilitar el +,ito en la fase de apo&o a la toma de decisiones
Despu's de &ue el e&uipo de administracin de riesgos de seguridad asigne prioridades a los riesgos
para la organi)acin# debe comen)ar el proceso para identi!icar las estrategias de mitigacin de
riesgos adecuadas% Con el !in de !acilitar a los participantes la identi!icacin de las posibles soluciones
de mitigacin de riesgos# el e&uipo debe crear re&uisitos !uncionales &ue contribu$an a de!inir el
4mbito de la estrategia de mitigacin para el responsable de mitigacin adecuado% *a tarea de
de!inicin de re&uisitos !uncionales se describe en el proceso de apo$o a la toma de decisiones global
en el captulo 5# ."po$o a la toma de decisiones.%
Principio de la p4gina