Evaluacion Del Riesgo

http://www.microsoft.com/latam/technet/articulos/adminriesgos/srsgch04.mspx?
pf=true
Gua de administracin de riesgos de seguridad
Captulo 4: Evaluacin del riesgo
Publicado: 15/10/2004
En esta pgina
Descripcin general
Planeamiento
ecopilacin de datos !acilitados
"signacin de prioridades a los riesgos
esumen
Descripcin general
El proceso de administracin de riesgos global consta de cuatro !ases principales: evaluacin de
riesgos# apo$o a la toma de decisiones# implementacin de controles $ medicin de la e!ectividad del
programa% El proceso de administracin de riesgos ilustra el modo en &ue un programa !ormal
proporciona un m'todo co(erente de organi)acin de recursos limitados para a!rontar los riesgos en
una organi)acin% *as venta+as se aprecian mediante el desarrollo de un entorno de control ase&uible
&ue a!ronte $ mida el riesgo a un nivel aceptable%
*a !ase de evaluacin de riesgos representa un proceso !ormal para identi!icar $ asignar prioridades a
los riesgos en la organi)acin% El proceso de administracin de riesgos de seguridad de ,icroso!t
proporciona indicaciones detalladas acerca de cmo reali)ar las evaluaciones de riesgos $ divide el
proceso de la !ase de evaluacin de riesgos en los tres pasos siguientes:
1% Planeamiento: establecer las bases para una evaluacin de riesgos correcta%
2% Recopilacin de datos facilitados: recopilar in!ormacin de riesgos mediante los debates
sobre riesgos !acilitados%
-% Asignacin de prioridades a riesgos: clasi!icar los riesgos identi!icados en un proceso
co(erente $ repetible%
El resultado de la !ase de evaluacin de riesgos es una lista de prioridades de los riesgos &ue
proporciona la in!ormacin para la !ase de apo$o a la toma de decisiones# &ue se trata en detalle en el
captulo 5# ."po$o a la toma de decisiones.%
En el siguiente diagrama se proporciona un resumen del proceso de administracin de riesgos global $
se muestra la !uncin de la evaluacin de riesgos en el con+unto del programa% /ambi'n se destacan
los tres pasos de la !ase de evaluacin de riesgos%
Figura 4.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de evaluacin de
riesgos
0er imagen a tama1o completo
En esta seccin se proporciona un breve resumen de los tres pasos de la !ase de evaluacin de
riesgos# la recopilacin de datos !acilitados $ asignacin de prioridades de riesgos% " continuacin# se
inclu$en secciones con tareas espec!icas para llevar a cabo una evaluacin de riesgos real en su
entorno%
Planeamiento
El planeamiento correcto de la evaluacin de riesgos es !undamental para el '2ito de todo el programa
de administracin de riesgos% 3i no se llevan a cabo adecuadamente las tareas de alineacin#
de!inicin de 4mbito $ obtencin de aceptacin de la !ase de evaluacin de riesgos# se reduce la
e!icacia de las dem4s !ases del programa global% *a elaboracin de las evaluaciones de riesgos puede
ser un proceso complicado &ue re&uiere una inversin importante para llevarlo a cabo% En la siguiente
seccin de este captulo se tratan las tareas $ las indicaciones !undamentales para el paso de
planeamiento%
Recopilacin de datos facilitados
Despu's del planeamiento# el siguiente paso consiste en recopilar la in!ormacin relacionada con
riesgos de los participantes de toda la organi)acin5 esta in!ormacin tambi'n se utili)ar4 en la !ase
de apo$o a la toma de decisiones% *os elementos de datos principales recopilados durante el paso de
recopilacin de datos !acilitados son:
Activos organiativos: cual&uier elemento &ue represente un valor para la empresa%
Descripcin de los activos: breve e2plicacin de cada activo# su valor $ responsabilidad para
!acilitar la comprensin com6n en la !ase de evaluacin de riesgos%
Amenaas de seguridad: causas o sucesos &ue pueden a!ectar negativamente a un activo#

representados por su p'rdida de con!idencialidad# integridad o disponibilidad%
!ulnera"ilidades: puntos d'biles o ausencia de controles &ue se pueden aprovec(ar para atacar
un activo%
Entorno de controles actual: descripcin de los controles actuales $ su e!icacia en la

organi)acin%
#ontroles propuestos: ideas iniciales para reducir el riesgo%

El paso de recopilacin de datos !acilitados representa el grueso de la colaboracin e interaccin entre
grupos durante la !ase de evaluacin de riesgos% En la tercera seccin de este captulo se tratan las
tareas $ las indicaciones de recopilacin de datos en detalle%
Asignacin de prioridades a riesgos
Durante el paso de recopilacin de datos !acilitados# el e&uipo de administracin de riesgos de
seguridad comien)a por la clasi!icacin de grandes cantidades de in!ormacin recopiladas para asignar
prioridades a los riesgos% El paso de asignacin de prioridades a riesgos es el primero de la !ase &ue
implica un elemento de sub+etividad% *a asignacin de prioridades es sub+etiva por&ue# despu's de
todo# el proceso implica esencialmente la prediccin del !uturo% Debido a &ue el resultado de la
evaluacin de riesgos conduce a las inversiones en tecnologa de la in!ormacin 7/89# el
establecimiento de un proceso transparente con !unciones $ responsabilidades de!inidas resulta crucial
para obtener la aceptacin de los resultados $ motivar &ue se emprendan acciones para mitigar los
riesgos% El proceso de administracin de riesgos de seguridad de ,icroso!t proporciona orientacin
para identi!icar $ asignar prioridades a los riesgos de un modo co(erente $ repetitivo% :n en!o&ue
abierto $ repetitivo a$uda al e&uipo de administracin de riesgos de seguridad a lograr el consenso
r4pidamente# lo &ue reduce los posibles retardos provocados por la naturale)a sub+etiva de la
asignacin de prioridades a los riesgos% En la cuarta seccin de este captulo se tratan las tareas $ las
indicaciones de asignacin de prioridades en detalle%
$nformacin necesaria para la fase de evaluacin de riesgos
Cada paso de la !ase de evaluacin de riesgos contiene una lista espec!ica de tareas normativas $ la
in!ormacin asociada% *a !ase en s misma re&uiere una base slida a di!erencia de in!ormaciones
espec!icas% /al como se (a descrito en el captulo 1# la !ase de evaluacin de riesgos re&uiere
lidera)go de seguridad materiali)ado en apo$o e+ecutivo# aceptacin de los participantes $ !unciones $
responsabilidades de!inidas% En las siguientes secciones se tratan estas 4reas en detalle%
Participantes en la fase de evaluacin de riesgos
*a evaluacin de riesgos re&uiere interaccin entre los grupos $ &ue los distintos participantes sean
responsables de tareas a lo largo de proceso% :na pr4ctica recomendada para reducir la con!usin de
!unciones en el proceso consiste en noti!icar las comprobaciones $ los balances incorporados en las
!unciones $ responsabilidades de administracin% ,ientras se est4 e!ectuando la evaluacin#
comuni&ue las !unciones &ue desempe1an los participantes $ aseg6reles &ue el e&uipo de
administracin de riesgos de seguridad respeta dic(os lmites% En la siguiente tabla se resumen las
!unciones $ las responsabilidades principales de los participantes en esta !ase del proceso de
administracin de riesgos%
%a"la 4.1: Funciones & responsa"ilidades en el programa de administracin de riesgos
Funcin Responsa"ilidad
esponsable de negocios Determina el valor de los activos de negocios%
;rupo de seguridad de in!ormacin Determina la probabilidad de repercusin en los
activos de negocio%
/ecnologa de la in!ormacin: ingeniera Dise1a las soluciones t'cnicas $ estima los costos
de ingeniera%
/ecnologa de la in!ormacin: operaciones Dise1a los componentes operativos de la solucin $
estima los costos operativos%
*as comprobaciones t4cticas $ los balances incorporados surgir4n durante las siguientes secciones
donde se e2aminan detenidamente los pasos de planeamiento# recopilacin de datos !acilitados $
asignacin de prioridades a los riesgos de la !ase de evaluacin de riesgos%
'erramientas proporcionadas para la fase de evaluacin de riesgos
Durante este proceso de evaluacin de riesgos se recopilar4n datos acerca de los riesgos $#
posteriormente# se utili)ar4n para asignar prioridades a los riesgos% Como a$uda para esta !ase se
inclu$en tres (erramientas% *as encontrar4 en la carpeta <erramientas $ plantillas creada al
desempa&uetar el arc(ivo de almacenamiento &ue contiene esta gua $ sus arc(ivos relacionados%
Plantilla de recopilacin de datos 7;"3<erramienta1=<erramienta de recopilacin de

datos%doc9% Plantilla para !acilitar los debates con el !in de recopilar datos de riesgos%
(ista de valores de activos 73"PP>%doc9% *ista de algunos activos &ue normalmente se

encuentran en las organi)aciones%
Plantillas de asignacin de prioridades a los riesgos 7;"3<erramienta2=?ivel de riesgo de

resumen%2ls $ ;"3<erramienta-="signacin de prioridades a los riesgos de nivel detallado%2ls9%
Plantillas de ,icroso!t@ E2cel para !acilitar la asignacin de prioridades a los riesgos%
Programa de e)emplo 7;"3<erramienta4=Programa de pro$ecto de e+emplo%2ls9% Este programa

puede a$udarle a planear las actividades de esta !ase%
Resultado necesario para la fase de evaluacin de riesgos
El resultado de la !ase de evaluacin de riesgos es una lista con prioridades de los riesgos# incluida la
clasi!icacin cualitativa $ las estimaciones cuantitativas empleadas en la !ase de apo$o a la toma de
decisiones &ue se describe en el siguiente captulo%
Principio de la p4gina
Planeamiento
El paso de planeamiento es# indiscutiblemente# el m4s importante para garanti)ar la aceptacin $ el
apo$o de los participantes a lo largo del proceso de evaluacin de riesgos% *a aceptacin de los
participantes es crucial por&ue el e&uipo de administracin de riesgos de seguridad re&uiere una
intervencin activa del resto de los participantes% El apo$o tambi'n es !undamental por&ue los
resultados de la evaluacin pueden in!luir en las actividades de creacin de presupuestos de los
participantes si se precisan nuevos controles para reducir el riesgo% *as tareas principales del paso de
planeamiento est4n en!ocadas a alinear correctamente la !ase de evaluacin con los procesos de
negocios# de!inir el 4mbito de la evaluacin de !orma precisa $ obtener la aceptacin de los
participantes% En la siguiente seccin se e2aminan estas tres tareas m4s detalladamente $ trata los
!actores de '2ito relacionados con dic(as tareas%
Alineacin
esulta idneo comen)ar la !ase de evaluacin de riesgos antes del proceso de creacin de
presupuestos de la organi)acin% *a alineacin !acilita el apo$o e+ecutivo $ aumenta la visibilidad en la
organi)acin $ los grupos de /8 mientras desarrollan presupuestos para el siguiente e+ercicio !iscal%
:nos pla)os correctos tambi'n a$udan a generar consenso durante la evaluacin por&ue permite &ue
los participantes desempe1en !unciones activas en el proceso de planeamiento% El grupo de seguridad
de in!ormacin normalmente se considera como un e&uipo reactivo &ue interrumpa la actividad de la
organi)acin $ sorprenda a las unidades de negocio con nuevos errores de control o interrupciones de
traba+o% :nos pla)os ra)onables de la evaluacin resultan cruciales para generar apo$o $ a$udar a la
organi)acin a comprender &ue la seguridad es responsabilidad de todos $ &ue es in(erente a la
organi)acin% Atra venta+a de e!ectuar una evaluacin de riesgos radica en demostrar &ue el grupo de
seguridad de in!ormacin se puede considerar un socio proactivo en ve) de un mero e+ecutor de
directivas durante las emergencias% En esta gua se proporciona un calendario de pro$ecto de e+emplo
como a$uda para alinear el proceso de evaluacin de riesgos para su organi)acin% Evidentemente# el
e&uipo de administracin de riesgos de seguridad no debe retener la in!ormacin de riesgo mientras
se espera el ciclo de creacin de presupuestos% *a alineacin del calendario de la evaluacin
simplemente es una pr4ctica recomendada aprendida de las evaluaciones e!ectuadas en el
departamento de /8 de ,icroso!t%
*ota: la correcta alineacin del proceso de administracin de riesgos con el ciclo de planeamiento
presupuestario tambi'n puede bene!iciar a las actividades de auditora interna o e2terna5 no obstante#
la coordinacin $ la de!inicin del 4mbito de las actividades de auditora &uedan !uera del 4mbito de
esta gua%
Definicin del m"ito
Durante las actividades de planeamiento# articule de !orma clara el 4mbito de la evaluacin de riesgos%
Para administrar el riesgo de !orma e!ica) en la organi)acin# el 4mbito de la evaluacin de riesgos
debe documentar todas las !unciones de la organi)acin incluidas en la evaluacin de riesgos% 3i el
tama1o de su organi)acin no permite una evaluacin de riesgos en toda la empresa# articule de
!orma clara las partes de la organi)acin &ue est4n dentro del 4mbito $ de!ina los participantes
asociados% /al como se (a descrito en el captulo 2# si su organi)acin no tiene e2periencia en los
programas de administracin de riesgos# puede comen)ar a practicar el proceso de evaluacin de
riesgos con unidades de negocios de las &ue se tenga un buen conocimiento% Por e+emplo# seleccionar
una aplicacin de recursos (umanos espec!ica o un servicio de /8# como el acceso remoto# puede
contribuir a demostrar el valor del proceso $ !acilitar la creacin del impulso para una evaluacin de
riesgos en toda la organi)acin%
*ota: las organi)aciones normalmente no de!inen de !orma precisa el 4mbito de una evaluacin de
riesgos% De!ina de !orma clara las 4reas de la organi)acin &ue se evaluar4n $ obtenga la aprobacin
e+ecutiva antes de continuar% El 4mbito se debe tratar con !recuencia $ comprenderse en todas las
reuniones de los participantes a lo largo del proceso%
En el paso de planeamiento tambi'n debe de!inir el 4mbito de la evaluacin de riesgos% En el sector de
la seguridad de la in!ormacin se utili)a el t'rmino evaluacin de tantas !ormas &ue puede con!undir a
los participantes sin conocimientos t'cnicos% Por e+emplo# las evaluaciones de vulnerabilidades se
llevan a cabo para identi!icar la con!iguracin espec!ica de tecnologa o puntos d'biles operativos% El
t'rmino evaluacin de cumplimiento se puede utili)ar para comunicar una auditora o una medicin de
los controles actuales seg6n la directiva !ormal% El proceso de administracin de riesgos de seguridad
de ,icroso!t de!ine la evaluacin de riesgos como el proceso para identificar y asignar prioridades a
los riesgos de seguridad de TI para la organizacin% Puede a+ustar esta de!inicin seg6n resulte
adecuado para su organi)acin% Por e+emplo# algunos e&uipos de administracin de riesgos de
seguridad tambi'n pueden incluir la seguridad del personal en el 4mbito de sus evaluaciones de
riesgos%
Aceptacin de los participantes
*a evaluacin de riesgos re&uiere una participacin activa de los participantes% Como pr4ctica
recomendada# traba+e con los participantes de modo in!ormal $ al principio del proceso para garanti)ar
&ue comprenden la importancia de la evaluacin# sus !unciones $ el compromiso de tiempo &ue se les
(a solicitado% Cual&uier responsable de evaluacin de riesgos puede indicarle &ue (a$ di!erencias
entre la aprobacin del pro$ecto por parte de los participantes $ la aceptacin de los participantes del
tiempo $ la prioridad del pro$ecto% :na pr4ctica recomendada para solicitar el apo$o de los
participantes es vender previamente el concepto $ las actividades de la evaluacin de riesgos% Esta
venta previa puede incluir una reunin in!ormal con los participantes antes de &ue solicitar un
compromiso !ormal% <aga (incapi' en los motivos por los &ue una evaluacin proactiva a$uda al
participante a largo pla)o mediante la identi!icacin de los controles &ue pueden evitar las
interrupciones derivadas de las incidencias de seguridad en el !uturo% *a inclusin de incidencias de
seguridad anteriores como e+emplos en el debate es un modo e!ica) de recordar a los participantes los
posibles ata&ues a la organi)acin%
*ota: para !acilitar a los participantes la comprensin del proceso# prepare un breve resumen en el
&ue se indi&ue la +usti!icacin $ el valor de la evaluacin% Comparta el resumen todo lo &ue pueda%
3abr4 &ue (a sido e!ica) cuando vea &ue los participantes se describen la evaluacin entre s% Este
resumen e+ecutivo de la gua o!rece un buen punto de partida para comunicar el valor del proceso de
evaluacin de riesgos%
Preparacin para el +,ito: definicin de e,pectativas
En una de!inicin de e2pectativas correcta no se puede e2agerar% *a de!inicin de e2pectativas
ra)onables es !undamental si se desea &ue la evaluacin de riesgos tenga '2ito# $a &ue el proceso
re&uiere aportaciones importantes de los distintos grupos &ue posiblemente representen toda la
organi)acin% "dem4s# los participantes tienen &ue estar de acuerdo $ comprender los !actores de
'2ito de su !uncin $ del proceso en su con+unto% 3i alguno de estos grupos no comprende o participa
activamente# la e!icacia de todo el programa puede estar en peligro%
,ientras logra el consenso durante el paso de planeamiento# de!ina las e2pectativas de las !unciones#
las responsabilidades $ los niveles de participacin solicitados de los dem4s participantes% /ambi'n
debe compartir los retos &ue entra1a la evaluacin% Por e+emplo# describa de !orma clara los procesos
de la identi!icacin $ asignacin de prioridades a los riesgos para evitar posibles malentendidos%
Aceptacin de la su")etividad
*os responsables de negocios a veces se ponen nerviosos cuando un grupo e2terno 7en este caso# el
grupo de seguridad de in!ormacin9 predice posibles riesgos de seguridad &ue puedan a!ectar a las
prioridades !iscales% Puede reducir esta tensin natural si de!ine e2pectativas para los ob+etivos del
proceso de evaluacin de riesgos $ para garanti)ar a los participantes &ue las !unciones $
responsabilidades se respetar4n a lo largo del proceso% En concreto# el grupo de seguridad de
in!ormacin debe aceptar &ue los responsables de negocios de!inan el valor de los activos de negocios%
Esto tambi'n signi!ica &ue los participantes deben con!iar en la e2periencia del grupo de seguridad de
in!ormacin para estimar el riesgo de las amena)as &ue a!ectan a la organi)acin% *a prediccin del
!uturo es sub+etiva por naturale)a% *os responsables de negocios deben reconocer $ apo$ar el (ec(o
de &ue el grupo de seguridad de in!ormacin utili)ar4 su e2periencia para estimar las probabilidades
de los riesgos% Desta&ue estas relaciones $ e2ponga las credenciales# e2periencia $ ob+etivos
compartidos del grupo de seguridad de in!ormacin $ los responsables de negocios%
Despu's de llevar a cabo el paso de planeamiento# articular las !unciones $ las responsabilidades $
de!inir correctamente las e2pectativas# estar4 preparado para comen)ar las acciones de traba+o del
proceso de evaluacin de riesgos: recopilacin de datos !acilitados $ asignacin de prioridades a los
riesgos% En las dos secciones siguientes se e2plican detalladamente estos pasos antes de pasar al
captulo 5 para describir la !ase de apo$o a la toma de decisiones%
Recopilacin de datos facilitados
En la seccin de in!ormacin general de este captulo se proporciona una introduccin al proceso de
evaluacin de riesgos# donde se tratan los tres pasos principales: planeamiento# recopilacin de datos
!acilitados $ asignacin de prioridades a los riesgos% /ras terminar las actividades de planeamiento# se
recopilan los datos de riesgo de los participantes de la organi)acin% Esta in!ormacin se utili)a para
identi!icar $# !inalmente# asignar prioridades a los riesgos%
Esta seccin est4 organi)ada en tres partes% En la primera se describe detalladamente el proceso de
recopilacin de datos $ se centra en los !actores de '2ito al recopilar la in!ormacin de riesgos% En la
segunda parte se e2plican los pasos detallados de la recopilacin de datos de riesgos mediante las
reuniones !acilitadas con los participantes con conocimientos t'cnicos $ sin dic(os conocimientos% En
la tercera parte se describen los pasos para consolidar esta compilacin de datos en un con+unto de
declaraciones de repercusiones# seg6n lo descrito en el captulo -% Para concluir el proceso de
evaluacin de riesgos# esta lista de declaraciones de repercusiones proporciona la in!ormacin para el
proceso de asignacin de prioridades &ue se e2plica detalladamente en la siguiente seccin%
#laves para el +,ito de la recopilacin de datos
Puede cuestionar la venta+a de reali)ar preguntas detalladas de seguridad acerca de los riesgos
relacionados con la tecnologa de la in!ormacin a personas sin e2periencia pro!esional% *a e2periencia
obtenida en las evaluaciones de riesgos &ue se (an e!ectuado en el departamento de /8 de ,icroso!t
demuestra &ue (a$ un increble valor en preguntar a los participantes con conocimientos t'cnicos $ sin
dic(os conocimientos lo &ue piensan acerca de los riesgos para los activos organi)ativos &ue
administran% *os pro!esionales de seguridad de in!ormacin tambi'n deben conocer en detalle las
preocupaciones de los participantes para traducir la in!ormacin acerca de sus entornos en riesgos con
prioridades% *as reuniones colaborativas con los participantes les a$udan a entender el riesgo en
t'rminos &ue puedan comprender $ valorar% "dem4s# los participantes controlan o in!lu$en en el gasto
de /8% 3i no comprenden las posibles repercusiones en la organi)acin# el proceso de asignacin de
recursos es m4s di!cil% *os responsables de negocios tambi'n dirigen la cultura de la empresa e
in!lu$en en el comportamiento de los usuarios% Esto solo puede constituir una (erramienta e!ica) al
administrar el riesgo%
Cuando se descubren los riesgos# el grupo de seguridad de in!ormacin re&uiere el apo$o de los
participantes en cuanto a asignacin de recursos $ el consenso en la de!inicin $ asignacin de
prioridades a los riesgos% "lgunos grupos de seguridad de in!ormacin sin un programa de
administracin de riesgos proactivo pueden !undamentarse en el miedo para motivar a la
organi)acin% En el me+or de los casos# es una estrategia a corto pla)o% El grupo de seguridad de
in!ormacin debe aprender a buscar el apo$o de la organi)acin si se desea &ue el programa de
administracin de riesgos contin6e a lo largo del tiempo% El primer paso para generar este apo$o son
las reuniones cara a cara con los participantes%
-eneracin de apo&o
*os responsables de negocios tienen !unciones e2plcitas en el proceso de evaluacin de riesgos% 3on
los responsables de identi!icar sus activos organi)ativos $ de estimar los costos de las posibles
repercusiones en dic(os activos% 3i se !ormali)a esta responsabilidad# el grupo de seguridad de
in!ormacin $ los responsables de negocios comparten por igual el '2ito de la administracin de
riesgos% *a ma$ora de los pro!esionales de seguridad de in!ormacin $ los participantes sin
conocimientos t'cnicos no aprecian esta cone2in autom4ticamente% Como e2pertos en la
administracin de riesgos# los pro!esionales de seguridad de in!ormacin deben tomar la iniciativa para
suplir los vacos de conocimientos durante los debates acerca de los riesgos% /al como se (a
mencionado en el captulo anterior# la incorporacin de un patrocinador e+ecutivo &ue comprenda la
organi)acin !acilita muc(o el establecimiento de esta relacin%
De"ate e interrogatorio
En muc(os m'todos de administracin de riesgos de seguridad se re&uiere &ue el grupo de seguridad
de in!ormacin (aga preguntas e2plcitas a los participantes $ catalogue sus respuestas% "lgunos
e+emplos de estas preguntas son .Bpuede describir sus directivas para garanti)ar una segmentacin
correcta de las responsabilidadesC. $ .Bcu4l es su proceso para revisar las directivas $ los
procedimientosC.% /enga en cuenta el tono $ el curso de la reunin% Es recomendable centrarse en
preguntas abiertas &ue !aciliten los debates en los dos sentidos% Esto tambi'n permite &ue los
participantes comuni&uen el verdadero espritu de las respuestas en ve) de indicar simplemente al
responsable de evaluacin de riesgos lo &ue creen &ue desea or% El ob+etivo del debate acerca de los
riesgos es comprender la organi)acin $ sus riesgos de seguridad# no el llevar a cabo una auditora de
la directiva documentada% "un&ue la aportacin de los participantes sin conocimientos t'cnicos es
valiosa# normalmente no es e2(austiva% El e&uipo de administracin de riesgos de seguridad#
independientemente del responsable de negocios# necesita anali)ar# investigar $ tener en cuenta todos
los riesgos para cada activo%
-eneracin de "uena voluntad
*a seguridad de in!ormacin es una !uncin de negocios di!cil $a &ue la reduccin de riesgos se suele
considerar como una reduccin de la capacidad de uso o de la productividad de los empleados% :tilice
los debates !acilitados como (erramienta para establecer una alian)a con los participantes% *a
legislacin# las preocupaciones de privacidad# la presin de la competencia $ una ma$or toma de
conciencia por parte de los consumidores (an provocado &ue los e+ecutivos $ los responsables de la
toma de decisiones recono)can &ue la seguridad es un componente de negocios mu$ importante%
"$ude a los participantes a comprender la importancia de administrar el riesgo $ sus !unciones en el
programa global% En ocasiones resulta m4s productivo establecer relaciones entre el grupo de
seguridad de in!ormacin $ los participantes &ue los datos reales recopilados durante la reunin% Es
una pe&ue1a pero importante victoria en el es!uer)o global de la administracin de riesgos%
Preparacin del de"ate acerca de los riesgos
"ntes de &ue comiencen los debates acerca de los riesgos# el e&uipo de administracin de riesgos de
seguridad debe dedicar tiempo en investigar $ comprender de !orma clara cada elemento &ue se
tratar4% *a siguiente in!ormacin cubre las pr4cticas recomendadas $ precisa la de!inicin de cada
elemento de la declaracin de riesgo bien elaborada como preparacin para !acilitar los debates con
los participantes%
$dentificacin de la informacin de la evaluacin de riesgos
El e&uipo de evaluacin de riesgos debe prepararse e2(austivamente antes de reunirse con los
participantes% El e&uipo resulta m4s e!ica) $ los debates son m4s productivos cuando el e&uipo
dispone de conocimientos claros de la organi)acin# su entorno t'cnico $ la actividad de evaluacin del
pasado% :tilice la siguiente lista como a$uda para recopilar el material &ue se utili)ar4 como
in!ormacin del proceso de evaluacin de riesgos:
*uevas motivaciones de negocios: actualice sus conocimientos acerca de las prioridades de la

organi)acin o los cambios &ue se (a$an producido desde la 6ltima evaluacin% Preste una atencin
especial a las !usiones $ ad&uisiciones%
Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores# las cuales o!recen
perspectiva% Puede &ue el e&uipo de evaluacin de riesgos tenga &ue reconciliar la nueva evaluacin
con el traba+o anterior%
Auditor.as: recopile los in!ormes de auditora pertinentes al 4mbito de la evaluacin de riesgos%

*os resultados de auditora se deben tener en cuenta en la evaluacin $ al seleccionar las nuevas
soluciones de control%
$ncidencias de seguridad: utilice las incidencias anteriores para identi!icar los activos clave#
comprender el valor de los activos# identi!icar las vulnerabilidades predominantes $ resaltar las
de!iniciones de control%
Activos
*os activos de negocios pueden ser tangibles o intangibles% Debe de!inir cada tipo de activo de !orma
su!iciente para &ue los responsables de negocios puedan estipular el valor del activo para la
organi)acin% "mbas categoras de activos re&uieren &ue el participante proporcione estimaciones en
!orma de p'rdida monetaria directa o repercusiones !inancieras indirectas%
*os activos tangibles inclu$en la in!raestructura# como centros de datos# servidores $ propiedad% *os
activos intangibles inclu$en datos u otra in!ormacin digital &ue resulte valiosa para la organi)acin#
por e+emplo# transacciones bancarias# c4lculos de intereses $ planes $ especi!icaciones de desarrollo
de productos%
3eg6n resulte adecuado para su organi)acin# una tercera de!inicin de activo de servicio de /8 puede
ser 6til% El servicio de /8 es una combinacin de activos tangibles e intangibles% Por e+emplo# un
servicio de correo electrnico de /8 corporativo contiene servidores !sicos $ utili)a la red !sica5 sin
embargo# el servicio puede contener datos digitales con!idenciales% /ambi'n debe incluir el servicio de
/8 como un activo $a &ue# por lo general# tiene distintos responsables de datos $ activos !sicos% Por
e+emplo# el responsable del servicio de correo electrnico es el encargado de la disponibilidad para
tener acceso $ enviar correo electrnico% ?o obstante# el servicio de correo electrnico puede no ser
responsable de la con!idencialidad de los datos !inancieros del correo electrnico o los controles !sicos
&ue rodean a los servidores de correo electrnico% Atros e+emplos de servicios de /8 son: uso
compartido de arc(ivos# almacenamiento# redes# acceso remoto $ tele!ona%
#lases de activos
*os activos &ue se encuentren en el 4mbito de la evaluacin de riesgos se deben a una clase o grupo
cualitativo% *as clases !acilitan la de!inicin de las repercusiones globales de los riesgos de seguridad%
/ambi'n a$udan a la organi)acin a centrarse en primer lugar en los activos m4s cruciales% *os
distintos modelos de evaluacin de riesgos de!inen una serie de clases de activos% El proceso de
administracin de riesgos de seguridad de ,icroso!t utili)a tres clases de activos &ue !acilitan la
cuanti!icacin del valor del activo para la organi)acin% BPor &u' slo tres clasesC Estas tres
agrupaciones permiten una di!erenciacin su!iciente $ reducir el tiempo de debate $ seleccin de la
denominacin de clase adecuada%
El proceso de administracin de riesgos de seguridad de ,icroso!t de!ine las tres clases de activos
cualitativos siguientes: alta repercusin en la empresa# repercusin moderada en la empresa $
repercusin ba+a en la empresa% Durante el paso de asignacin de prioridades a los riesgos# el proceso
tambi'n proporciona orientacin para cuanti!icar los activos% 3eg6n resulte adecuado para la
organi)acin# puede optar por cuanti!icar los activos durante los debates de riesgos !acilitados% 3i lo
(ace# tenga en cuenta el tiempo necesario para lograr el consenso en la cuanti!icacin de los valores
monetarios durante el debate acerca de los riesgos% El proceso recomienda esperar (asta &ue se
(a$an identi!icado todos los riesgos $ posteriormente se les (a$a asignado prioridades para reducir el
n6mero de riesgos &ue necesitan m4s an4lisis%
*ota: para obtener in!ormacin adicional acerca de la de!inicin $ clasi!icacin de la in!ormacin $ los
sistemas de in!ormacin consulte los talleres de la publicacin especial D00=E0 de ?ational 8nstitute o!
3tandards and /ec(nolog$ 7?83/9# .,apping /$pes o! 8n!ormation and 8n!ormation 3$stems to
3ecurit$ Categories. $ la publicacin 1FF de Gederal 8n!ormation Processing 3tandards 7G8P39#
.3ecurit$ Categori)ation o! Gederal 8n!ormation and 8n!ormation 3$stems.%
Repercusin alta en la empresa
*as repercusiones en la con!idencialidad# la integridad o la disponibilidad de estos activos provocan
p'rdidas graves o catastr!icas para la organi)acin% *as repercusiones se pueden e2presar en
t'rminos !inancieros puros o pueden re!le+ar p'rdida indirecta o robo de instrumentos !inancieros#
productividad de la organi)acin# da1os a la reputacin o responsabilidad legal o normativa
importante% En la siguiente lista se o!recen unos cuantos e+emplos de la clase de repercusin alta en la
empresa:
#redenciales de autenticacin: contrase1as# claves de ci!rado privadas $ testigos 7toHens9 de

(ardIare%
Material de negocios mu& confidencial: datos !inancieros $ propiedad intelectual%
Activos sometidos a re/uisitos normativos espec.ficos: ;*>"# <8P""# C" 3>1-DE $ directiva
de proteccin de datos de :E%
$nformacin de identificacin personal: in!ormacin &ue permita a un pirata in!orm4tico

identi!icar a sus clientes o empleados# o bien conocer alguna caracterstica personal%
Datos de autoriacin de transacciones financieras: n6meros de tar+eta de cr'dito $ !ec(as de

caducidad%
Perfiles financieros: in!ormes de cr'dito de clientes o e2tractos de ingresos personales%
Perfiles m+dicos: n6meros de registro m'dico o identi!icadores biom'tricos%

Para proteger la con!idencialidad de los activos de esta clase# el acceso est4 restringido al uso
organi)ativo limitado sobre la base de .&uien necesite saberlo.% El n6mero de personas con acceso a
estos datos lo debe administrar e2plcitamente el responsable del activo% 3e debe prestar la misma
atencin a la integridad $ la disponibilidad de los activos de esta clase%
Repercusin moderada en la empresa
*as repercusiones en la con!idencialidad# la integridad o la disponibilidad de estos activos provocan
p'rdidas moderadas para la organi)acin% *a p'rdida moderada no constitu$e una repercusin grave o
catastr!ica# pero altera las !unciones organi)ativas normales (asta el punto de &ue son necesarios
controles proactivos para minimi)ar las repercusiones en esta clase de activos%
*a p'rdida moderada se puede e2presar en t'rminos !inancieros puros o puede incluir p'rdida
indirecta o robo de instrumentos !inancieros# productividad de la empresa# da1os a la reputacin o
responsabilidad legal o normativa importante% Estos activos est4n pensados para &ue los utilicen
determinados grupos de empleados o personas a+enas a la empresa con una necesidad de negocios
legtima% " continuacin se o!recen e+emplos de la clase de repercusin moderada en la empresa:
$nformacin de negocios interna: directorio de empleados# datos de pedidos# dise1os de

in!raestructura de red# in!ormacin acerca de sitios Jeb internos $ datos en recursos compartidos
de arc(ivos internos 6nicamente para uso de negocios interno%
Repercusin "a)a en la empresa
*os activos &ue no son de repercusin alta o de repercusin moderada tienen la clasi!icacin de
repercusin ba+a en la empresa $ no tienen re&uisitos de proteccin !ormales ni controles adicionales
aparte de las pr4cticas recomendadas est4ndar para proteger la in!raestructura% Estos activos
normalmente son in!ormacin de amplia di!usin p6blica en los &ue una revelacin no autori)ada no
dara lugar a una p'rdida !inanciera importante# problemas legales o normativos# interrupciones
operativas o desventa+a competitiva de negocios%
*a siguiente es una lista no e2(austiva de algunos e+emplos de activos de repercusin ba+a en la
empresa:
Estructura de alto nivel de la organi)acin%
8n!ormacin b4sica acerca de la plata!orma operativa de /8%
"cceso de lectura a p4ginas Jeb de acceso p6blico%
Claves de ci!rado privadas%
?otas de prensa publicadas# !olletos de producto# notas del producto $ documentos incluidos en los
productos publicados%
8n!ormacin de negocios o activos tangibles obsoletos%

0rganiacin de la informacin de riesgos
El riesgo implica muc(os componentes en activos# amena)as# vulnerabilidades $ controles% El
responsable de evaluacin de riesgos debe poder determinar el componente de riesgo del &ue se trata
sin inter!erir en el !lu+o de la conversacin% Para organi)acin el debate# utilice la plantilla de discusin
de riesgos 7;"3<erramienta1=<erramienta de recopilacin de datos%doc9 incluida en la seccin
<erramientas para !acilitar a los asistentes la comprensin de los componentes en riesgo% *a plantilla
tambi'n !acilita al responsable de registro de evaluacin de riesgos la obtencin de in!ormacin de
riesgos de !orma co(erente en las reuniones%
*os datos de la plantilla se pueden rellenar en cual&uier secuencia% 3in embargo# la e2periencia
demuestra &ue si se sigue la secuencia seg6n las siguientes preguntas# se !acilita a los participantes
del debate la comprensin de los componentes de riesgo $ revela m4s in!ormacin:
BKu' activo se va a protegerC
BCu4l es el valor del activo para la organi)acinC
BKu' se intenta evitar &ue le suceda al activo 7amena)as conocidas $ posibles9C
BCmo se pueden producir la p'rdida o las e2posicionesC
BCu4l es el alcance de la e2posicin potencial para el activoC
BKu' se est4 (aciendo actualmente para reducir la probabilidad o el alcance del da1o en el activoC
BCu4les son las acciones &ue se pueden adoptar para reducir la probabilidad en el !uturoC
Para el pro!esional de seguridad de in!ormacin# las preguntas anteriores se traducen en terminologa
$ categoras de evaluacin de riesgos espec!icas &ue se emplean para asignar prioridades a los
riesgos% ?o obstante# es posible &ue el participante no est' !amiliari)ado con dic(os t'rminos $ no
est' encargado de asignar prioridades a los riesgos% *a e2periencia demuestra &ue si se evita
terminologa de seguridad de in!ormacin# como amena)as# vulnerabilidades $ contramedidas# se
me+ora la calidad del debate $ permite &ue los participantes sin conocimientos t'cnicos no se sientan
intimidados% Atra venta+a de utili)ar t'rminos !uncionales para debatir el riesgo radica en &ue se
reduce la posibilidad de &ue otros t'cnicos discutan sutile)as de t'rminos espec!icos% En este punto
del proceso es muc(o m4s importante comprender las 4reas de ma$or riesgo &ue debatir de!iniciones
opuestas de amena)a $ vulnerabilidad% El responsable de evaluacin de riesgos debe esperar (asta el
!inal del debate para resolver dudas acerca de las de!iniciones $ terminologa de los riesgos%
0rganiacin por niveles de defensa en profundidad
El responsable de registro $ el responsable de evaluacin de riesgos recopilar4n grandes cantidades de
in!ormacin% :tilice el modelo de de!ensa en pro!undidad para !acilitar la organi)acin de los debates
correspondientes a todos los elementos de riesgo% Esta organi)acin proporciona una estructura $
a$uda al e&uipo de administracin de riesgos de seguridad a recopilar in!ormacin de riesgos en la
organi)acin% En la plantilla de debate de riesgos se inclu$e un e+emplo de niveles de de!ensa en
pro!undidad $ se ilustra en la !igura 4%2% En la seccin titulada .Argani)acin de las soluciones de
control. del captulo E# .8mplementacin de controles $ medicin de la e!ectividad del programa.# se
inclu$e una descripcin m4s detallada del modelo de de!ensa en pro!undidad%
Figura 4.1 Modelo de defensa en profundidad
Atra (erramienta 6til para complementar el modelo de de!ensa en pro!undidad es (acer re!erencia al
est4ndar 83A 1LLFF para organi)ar las preguntas $ respuestas relativas a los riesgos% <acer re!erencia
a un est4ndar e2(austivo como 83A 1LLFF tambi'n !acilita los debates acerca de los riesgos en
relacin con 4reas adicionales# por e+emplo# +urdica# directiva# proceso# personal $ desarrollo de
aplicaciones%
Definicin de amenaas & vulnera"ilidades
*a in!ormacin acerca de las amena)as $ vulnerabilidades proporciona la prueba t'cnica &ue se
emplea para asignar prioridades a los riesgos en una empresa% Debido a &ue muc(os participantes sin
conocimientos t'cnicos pueden no estar !amiliari)ados con las e2posiciones detalladas &ue a!ectan a
su empresa# es posible &ue el responsable de evaluacin de riesgos tenga &ue o!recer e+emplos &ue
contribu$an a iniciar el debate% Msta es un 4rea en la &ue resulta mu$ valiosa una investigacin previa
para a$udar a los responsables de negocios a detectar $ comprender el riesgo en sus propios
entornos% Como re!erencia# en 83A 1LLFF se de!inen las amena)as como una causa de repercusiones
posibles en la organi)acin% ?83/ de!ine una amena)a como un suceso o entidad con posibilidad de
da1ar el sistema% *as repercusiones derivadas de una amena)a normalmente se de!inen con
conceptos como con!idencialidad# integridad $ disponibilidad% <acer re!erencia a est4ndares del sector
resulta mu$ 6til al investigar amena)as $ vulnerabilidades%
Para el debate de riesgos !acilitado puede resultar 6til traducir las amena)as $ vulnerabilidades en
t'rminos conocidos para los participantes sin conocimientos t'cnicos% Por e+emplo# B&u' se intenta
evitarC o B&u' se teme &ue le suceda al activoC *a ma$ora de las repercusiones en la empresa se
pueden clasi!icar en con!idencialidad del activo# integridad o disponibilidad del activo para la
reali)acin de las actividades% 8ntente utili)ar este en!o&ue si los participantes tienen di!icultades para
entender el signi!icado de las amena)as para los activos organi)ativos% :n e+emplo (abitual de una
amena)a para la organi)acin es un ata&ue a la integridad de los datos !inancieros% Despu's de (aber
articulado lo &ue intenta evitar# la siguiente tarea consiste en determinar el modo en &ue las
amena)as se producen en la organi)acin%
:na vulnerabilidad es un punto d'bil de un activo o grupo de activos &ue una amena)a puede atacar%
De un modo simpli!icado# las vulnerabilidades proporcionan el mecanismo o el modo en &ue se pueden
producir las amena)as% Como re!erencia adicional# ?83/ de!ine la vulnerabilidad como una situacin o
punto d'bil en 7o la ausencia de9 los procedimientos de seguridad# controles t'cnicos# controles !sicos
u otros controles &ue puede aprovec(ar una amena)a% Como e+emplo# una vulnerabilidad (abitual de
los osas es la ausencia de actuali)aciones de seguridad% *a incorporacin de los e+emplos de amena)a
$ vulnerabilidad indicados anteriormente genera la siguiente declaracin: .los osas sin revisiones
pueden provocar un ata&ue a la integridad de la in!ormacin !inanciera &ue se encuentra en ellos.%
:n error (abitual al llevar a cabo una evaluacin de riesgos es centrarse en vulnerabilidades t'cnicas%
*a e2periencia demuestra &ue las vulnerabilidades m4s importantes se suelen producir debido a la
ausencia de un proceso de!inido o un control no adecuado de la seguridad de in!ormacin% ?o pase por
alto los aspectos organi)ativos $ de lidera)go de la seguridad durante el proceso de recopilacin de
datos% Por e+emplo# retomando la vulnerabilidad de actuali)aciones de seguridad anterior# la
imposibilidad de aplicar actuali)aciones en sistemas administrados puede conllevar un ata&ue a la
integridad de la in!ormacin !inanciera &ue se encuentra en dic(os sistemas% El control claro $ la
aplicacin de directivas de seguridad de in!ormacin suelen ser un problema organi)ativo en muc(as
empresas%
*ota: durante el proceso de recopilacin de datos puede reconocer grupos comunes de amena)as $
vulnerabilidades% ealice un seguimiento de estos grupos para determinar si con controles similares se
puede reducir la probabilidad de varios riesgos%
Estimacin de e,posicin de los activos
Despu's de &ue el responsable de evaluacin de riesgos diri+a el debate por la identi!icacin de
activos# amena)as $ vulnerabilidades# la siguiente tarea consiste en recopilar las estimaciones de los
participantes acerca del alcance de los da1os posibles al activo# independientemente de su de!inicin
de clase% El alcance de da1os posibles se de!ine como e2posicin del activo%
/al como se (a descrito anteriormente# el responsable de negocios es el encargado de identi!icar los
activos $ estimar la p'rdida posible para el activo o la organi)acin% " modo de revisin# la clase de
activos# la e2posicin $ la combinacin de amena)a $ vulnerabilidad de!inen las repercusiones globales
en la organi)acin% " continuacin# las repercusiones se combinan con la probabilidad para reali)ar la
declaracin de riesgo bien elaborada# tal como se (a de!inido en el captulo -%
El responsable de evaluacin de riesgos inicia el debate con los siguientes e+emplos de categoras
cualitativas de e2posicin posible para cada combinacin de amena)a $ vulnerabilidad asociada a un
activo:
0enta+a competitiva
*egal/normativo
Disponibilidad operativa
eputacin en el mercado
Por cada categora# a$ude a los participantes a situar las estimaciones en los tres grupos siguientes:
E,posicin alta: p'rdida grave o completa del activo%
E,posicin moderada: p'rdida limitada o moderada%
E,posicin "a)a: p'rdida menor o no (a$ p'rdida%

En la seccin de asignacin de prioridades de este captulo se o!recen indicaciones para incorporar
detalles a las categoras de e2posicin anteriores% "l igual &ue en la tarea de cuanti!icar los activos# el
proceso de administracin de riesgos de seguridad de ,icroso!t recomienda esperar (asta el paso de
asignacin de prioridades para precisar los niveles de e2posicin%
*ota: si los participantes tienen di!icultades para seleccionar los niveles de e2posicin durante los
debates !acilitados# retome los detalles de amena)a $ vulnerabilidad para !acilitar la indicacin del
nivel posible de da1os o p'rdida del activo% *os e+emplos p6blicos de ata&ues de seguridad tambi'n
constitu$en otra (erramienta 6til% 3i se necesita a$uda adicional# introdu)ca el m42imo de niveles
detallados de e2posicin seg6n lo de!inido en la seccin de asignacin de prioridades detalladas m4s
adelante en este captulo%
Estimacin de la pro"a"ilidad de las amenaas
Despu's de &ue los participantes (a$an proporcionado las estimaciones de las posibles repercusiones
en los activos organi)ativos# el responsable de evaluacin de riesgos recopila sus opiniones acerca de
la probabilidad de &ue las repercusiones se produ)can% De este modo se cierra el debate acerca de los
riesgos $ se permite &ue el participante comprenda el proceso de identi!icar los riesgos de seguridad%
ecuerde &ue el grupo de seguridad de in!ormacin se encarga de la decisin !inal acerca de la
estimacin de probabilidad de &ue se produ)can repercusiones en la organi)acin% Este debate se
puede considerar de cortesa $ un modo de generar buena voluntad en los participantes%
:tilice las siguientes indicaciones para estimar la probabilidad de cada amena)a $ vulnerabilidad
identi!icada en el debate:
Alta: mu$ probable# previsin de uno o varios ata&ues en un a1o%
Media: probable# previsin de ata&ue en dos a tres a1os%
2a)a: no probable# no se prev' ning6n ata&ue en tres a1os%

?ormalmente se inclu$e la revisin de las incidencias &ue se (an producido recientemente% 3eg6n
resulte adecuado# debata estas indicaciones en orden para &ue los participantes comprendan la
importancia de la seguridad $ el proceso de administracin de riesgos global%
El proceso de administracin de riesgos de seguridad de ,icroso!t asocia un intervalo de un a1o a la
categora de probabilidad alta por&ue los controles de seguridad de in!ormacin normalmente tardan
perodos largos en implementarse% 3eleccionar la probabilidad de un a1o llama la atencin del riesgo $
anima a tomar una decisin de mitigacin en el siguiente ciclo presupuestario% :na probabilidad alta#
combinada con una repercusin alta# e2ige un debate acerca de los riesgos entre los participantes $ el
e&uipo de administracin de riesgos de seguridad% El grupo de seguridad de in!ormacin debe tomar
conciencia de esta responsabilidad al estimar la probabilidad de las repercusiones%
*a siguiente tarea es recopilar las opiniones de los participantes acerca de los posibles controles &ue
puedan reducir la probabilidad de las repercusiones identi!icadas% /rate este debate como una sesin
de lluvia de ideas $ no criti&ue ni rec(ace ninguna idea% De nuevo# el ob+etivo principal de este debate
es demostrar todos los componentes de riesgo para !acilitar la comprensin% *a seleccin de
mitigacin real se produce en la !ase de apo$o a la toma de decisiones% Por cada posible control
identi!icado# revise el debate de probabilidad para estimar el nivel de aparicin reducida mediante las
mismas categoras cualitativas descritas anteriormente% 8ndi&ue a los participantes &ue el concepto de
reduccin de probabilidad del riesgo es la variable principal para administrar el riesgo a un nivel
aceptable%
Facilitar los de"ates acerca de los riesgos
En esta seccin se describe la preparacin de las reuniones de debate acerca de los riesgos $ se
de!inen las cinco tareas del debate de recopilacin de datos 7determinar los activos $ escenarios
organi)ativos# identi!icar las amena)as# identi!icar las vulnerabilidades# estimar la e2posicin de
activos# identi!icar los controles e2istentes $ la probabilidad de un ata&ue9%
Preparacin de las reuniones
:n !actor sutil# pero importante# de '2ito es el orden en &ue se llevan a cabo los debates acerca de los
riesgos% *a e2periencia en ,icroso!t demuestra &ue cuanta m4s in!ormacin aporta el e&uipo de
administracin de riesgos de seguridad a cada reunin# m4s productivo es su resultado% :na
estrategia consiste en crear una base de conocimientos de los riesgos en la organi)acin para
aprovec(ar la e2periencia de los e&uipos de seguridad de in!ormacin $ de /8% Celebre una reunin
con el grupo de seguridad de in!ormacin en primer lugar $# a continuacin# con los e&uipos de /8
para actuali)ar los conocimientos acerca del entorno% De este modo# el e&uipo de administracin de
riesgos de seguridad puede disponer de una ma$or comprensin del 4rea de la organi)acin de cada
participante% /ambi'n permite &ue dic(o e&uipo comparta los avances de la evaluacin de riesgos con
los participantes seg6n resulte adecuado% 3eg6n esta pr4ctica recomendada# lleve a cabo los debates
acerca de los riesgos con la direccin e+ecutiva (acia el !inal del proceso de recopilacin de datos% *os
e+ecutivos normalmente desean obtener un avance de la direccin &ue toma la evaluacin de riesgos%
?o lo con!unda con el patrocinio $ el apo$o e+ecutivo% *a participacin de los e+ecutivos es necesaria al
principio $ durante el proceso de evaluacin de riesgos%
Dedi&ue tiempo a crear la lista de invitados a cada debate acerca de los riesgos% 3e recomienda llevar
a cabo reuniones con grupos de participantes &ue dispongan de responsabilidades $ conocimientos
t'cnicos similares% El ob+etivo es &ue los asistentes se sientan cmodos con el nivel t'cnico del debate%
"un&ue un con+unto variado de participantes puede suponer una venta+a al o!recer otros puntos de
vista acerca del riesgo de la organi)acin# el proceso de evaluacin de riesgos debe permanecer
centrado en recopilar todos los datos pertinentes en el tiempo asignado%
Despu's de programar los debates acerca de los riesgos# investigue el 4rea de organi)acin de cada
participante para !amiliari)arse con los activos# las amena)as# las vulnerabilidades $ los controles% /al
como se (a indicado anteriormente# esta in!ormacin permite al responsable de evaluacin de riesgos
mantener el debate encau)ado $ a un ritmo productivo%
Facilitar los de"ates
El debate dirigido debe tener un tono in!ormal5 no obstante# el responsable de evaluacin de riesgos
debe mantener el debate en orden para tratar todo el material pertinente% *a e2periencia demuestra
&ue el debate normalmente no se a+usta a la agenda% *os errores probables se producen cuando los
participantes inician discusiones t'cnicas acerca de las nuevas vulnerabilidades o tienen soluciones de
control preconcebidas% El responsable de evaluacin de riesgos debe utili)ar la investigacin previa a
la reunin $ su e2periencia para elaborar un resumen de la discusin t'cnica $ (acer &ue la reunin
avance% Con la su!iciente preparacin# una reunin con cuatro a seis participantes debe durar
apro2imadamente E0 minutos%
Dedi&ue unos minutos al principio para tratar la agenda $ (acer (incapi' en las !unciones $
responsabilidades en el programa de administracin de riesgos% *os participantes deben comprender
de !orma clara sus !unciones $ las aportaciones &ue se esperan de ellos% Atra pr4ctica recomendada es
proporcionar a todos los participantes una (o+a de traba+o de debate de riesgos de e+emplo para &ue
tomen notas personales% De este modo tambi'n se o!rece una re!erencia a medida &ue el responsable
de evaluacin de riesgos dirige el debate de riesgos% Atra pr4ctica recomendada es llegar antes $
anotar la plantilla de riesgos en una pi)arra para registrar datos durante la reunin% Para una reunin
de E0 minutos# la distribucin del tiempo debe ser parecida a la siguiente:
Presentaciones e informacin general acerca de la administracin de riesgos: 5 minutos
Funciones & responsa"ilidades: 5 minutos
De"ate acerca de los riesgos: 50 minutos

El debate acerca de los riesgos se divide en las siguientes secciones:
Determinar los activos organiativos & los escenarios
$dentificar las amenaas
$dentificar las vulnera"ilidades
Estimar la e,posicin de los activos
Estimar la pro"a"ilidad de las amenaas
De"ates de los controles propuestos
Resumen de la reunin & pasos siguientes

El !lu+o real de la reunin vara seg6n el grupo de participantes# el n6mero de riesgos debatidos $ la
e2periencia del responsable de evaluacin de riesgos% :tilice 'ste como gua en cuanto a la dedicacin
de tiempo relativo a cada tarea de la evaluacin% "simismo# considere la posibilidad de enviar la
plantilla de recopilacin de datos antes de la reunin si los participantes tienen e2periencia en el
proceso de evaluacin de riesgos%
*ota: en las secciones restantes de este captulo se inclu$e in!ormacin de e+emplo para demostrar el
uso de las (erramientas a las &ue se (a (ec(o re!erencia en la !ase de evaluacin de riesgos% *a
empresa de e+emplo es !icticia $ el contenido relacionado con el riesgo slo representa una parte de
los datos necesarios para una evaluacin de riesgos completa% El e+emplo se centra en mostrar
6nicamente el modo en &ue se puede recopilar $ anali)ar la in!ormacin mediante las (erramientas
proporcionadas con esta gua% :na demostracin completa de todos los aspectos del proceso de
administracin de riesgos de seguridad de ,icroso!t genera una cantidad considerable de datos $
&ueda !uera del 4mbito de esta gua% *a empresa !icticia es un banco &ue o!rece servicios a
particulares denominado Joodgrove >anH% El contenido relacionado con el e+emplo se puede
identi!icar mediante el encabe)ado .E+emplo de Joodgrove. &ue antecede a cada tema de e+emplo%
%area 1: Determinar los activos organiativos & los escenarios
*a primera tarea consiste en recopilar las de!iniciones de los participantes de los activos organi)ativos
en el 4mbito de la evaluacin de riesgos% :tilice la plantilla de recopilacin de datos# mostrada a
continuacin# para asignar los activos tangibles# intangibles o de servicio de /8 seg6n resulte adecuado
7;"3<erramienta1=<erramienta de recopilacin de datos%doc tambi'n se inclu$e como (erramienta
con esta gua9% Por cada activo# a$ude a los participantes a seleccionar una clase de activos $ a
registrarla en la plantilla% 3eg6n resulte adecuado# registre tambi'n el responsable del activo% 3i los
participantes tienen di!icultades para seleccionar una clase de activos# compruebe &ue el activo est4
de!inido en un nivel detallado para !acilitar el debate% 3i los participantes siguen teniendo di!icultades#
omita esta tarea $ espere (asta los debates acerca de las amena)as $ las vulnerabilidades% *a
e2periencia demuestra &ue los participantes pueden clasi!icar los activos m4s !4cilmente cuando
aprecian las amena)as posibles para el activo $ toda la empresa%
El debate en relacin con los activos organi)ativos se puede limitar a unas preguntas simples% Por
e+emplo# Bel activo es crucial para el '2ito de la empresaC $ Bel activo puede tener repercusiones
materiales en los resultadosC 3i las respuestas son a!irmativas# el activo puede tener repercusiones
altas en la organi)acin%
Figura 4.3 $nstantnea de la plantilla de recopilacin de datos 4-AR5'erramienta16
E)emplo de 7oodgrove: Joodgrove >anH dispone de numerosos activos de alto valor &ue van
desde sistemas de c4lculo de intereses e in!ormacin personal de clientes (asta datos !inancieros de
consumidor $ reputacin como institucin de con!ian)a% Este e+emplo slo se centra en uno de estos
activos# datos !inancieros de consumidor# para demostrar el uso de las (erramientas incluidas en esta
gua% Despu's de tratar la responsabilidad del activo en la reunin de debate acerca de los riesgos# el
e&uipo de administracin de riesgos de seguridad (a identi!icado al vicepresidente de servicios al
consumidor como el responsable del activo% 3i se identi!ica un riesgo controvertido o una estrategia de
mitigacin cara# este responsable de negocios ser4 un participante clave al decidir el riesgo aceptable
para Joodgrove >anH% "l (ablar con los representantes de los servicios al consumidor# el e&uipo de
administracin de riesgos de seguridad (a con!irmado &ue los datos !inancieros de consumidor son un
activo de alto valor para la empresa%
%area 1: $dentificar las amenaas
:tilice terminologa com6n para !acilitar el debate acerca de las amena)as# por e+emplo# B&u' desean
evitar los participantes &ue les suceda a los distintos activosC Centre los debates en qu puede
suceder en ve) de cmo puede suceder% Plantee las preguntas en t'rminos de con!idencialidad#
integridad o disponibilidad del activo $ registre la in!ormacin en la plantilla de recopilacin de datos%
E)emplo de 7oodgrove: seg6n los activos tratados anteriormente# se pueden identi!icar numerosas
amena)as% Para abreviar# este e+emplo slo se centra en la amena)a de una p'rdida de integridad de
los datos !inancieros de consumidor% /ambi'n puede (aber amena)as adicionales en cuanto a la
disponibilidad $ la con!idencialidad de los datos de consumidor5 no obstante# &uedan !uera del 4mbito
de este e+emplo b4sico%
%area 3: $dentificar las vulnera"ilidades
Por cada amena)a identi!icada# o!re)ca ideas acerca de las vulnerabilidades# por e+emplo# cmo se
podra producir la amena)a% "nime a los participantes a o!recer e+emplos t'cnicos espec!icos al
documentar las vulnerabilidades% Cada amena)a puede tener varias vulnerabilidades% Esto es normal $
sirve de a$uda en las etapas posteriores de identi!icacin de controles en la !ase de apo$o a la toma
de decisiones del proceso de administracin de riesgos%
E)emplo de 7oodgrove: teniendo en cuenta la amena)a de p'rdida de integridad en los datos
!inancieros de consumidor# el e&uipo de administracin de riesgos de seguridad (a condensado la
in!ormacin recopilada durante los debates acerca de los riesgos en las tres vulnerabilidades
siguientes:
1% obo de credenciales de asesor !inanciero por parte de empleados de con!ian)a mediante
ata&ues no t'cnicos# por e+emplo# ingeniera social o escuc(as%
2% obo de credenciales de asesor !inanciero a trav's de (osts de la red de 4rea local 7*"?9
mediante el uso de con!iguraciones de seguridad obsoletas%
-% obo de credenciales de asesor !inanciero a trav's de (osts remotos# o mviles# como
resultado de con!iguraciones de seguridad obsoletas%
/enga en cuenta &ue puede (aber muc(as m4s vulnerabilidades en este escenario% El ob+etivo es
demostrar el modo en &ue las vulnerabilidades se asignan a amena)as espec!icas% /enga tambi'n en
cuenta &ue es posible &ue los participantes no designen las vulnerabilidades en t'rminos t'cnicos% El
e&uipo de administracin de riesgos de seguridad debe precisar las declaraciones de amena)as $
vulnerabilidades seg6n sea necesario%
%area 4: Estimar la e,posicin de los activos
El responsable de evaluacin de riesgos dirige el debate para estimar la e2posicin de cada
combinacin de amena)a $ vulnerabilidad% Pida a los participantes &ue seleccionen un nivel de
e2posicin alta# moderada o ba+a $ lo registren en la plantilla% En el caso de activos $ sistemas
digitales# una directri) 6til consiste en clasi!icar la e2posicin como alta si la vulnerabilidad permite un
control de nivel administrativo# o ra)# del activo%
E)emplo de 7oodgrove: despu's de identi!icar las amena)as $ las vulnerabilidades# el responsable
de evaluacin de riesgos dirige el debate para recopilar in!ormacin acerca del nivel posible de da1os
&ue las combinaciones de amena)a $ vulnerabilidad tratadas anteriormente pueden producir a la
empresa% /ras debatirlo# el grupo determina lo siguiente:
:n ata&ue de integridad por parte de un empleado de con!ian)a puede provocar da1os a la

empresa# pero probablemente no sean demasiado graves% En este escenario# el alcance del da1o es
limitado por&ue cada asesor !inanciero slo puede tener acceso a los datos de cliente &ue
administra% Por lo tanto# el grupo de debate reconoce &ue un n6mero menor de credenciales
robadas provoca menos da1os &ue un n6mero ma$or%
:n ata&ue de integridad mediante el robo de credenciales en los (osts de la *"? puede provocar un
nivel grave# o alto# de da1os% Esto es as# especialmente# en el caso de un ata&ue automati)ado &ue
pueda recopilar varias credenciales de asesor !inanciero en un breve perodo de tiempo%
:n ata&ue de integridad mediante el robo de credenciales en los (osts mviles tambi'n puede tener
un nivel grave# o alto# de da1os% El grupo de debate anota &ue las con!iguraciones de seguridad en
los (osts remotos normalmente van por detr4s de los sistemas *"?%
%area 8: $dentificar los controles e,istentes & la pro"a"ilidad de un ata/ue
:tilice el debate acerca de los riesgos para comprender me+or los puntos de vista de los participantes
del entorno de controles actual# sus opiniones acerca de la probabilidad de un ata&ue $ sus
sugerencias de controles propuestos% *os puntos de vista de los participantes pueden di!erir de la
implementacin real# pero proporcionan una re!erencia valiosa al grupo de seguridad de in!ormacin%
:tilice este punto del debate para recordar a los participantes sus !unciones $ responsabilidades en el
programa de administracin de riesgos% Documente los resultados en la plantilla%
E)emplo de 7oodgrove: despu's del debate acerca de la e2posicin posible para la empresa con las
amena)as $ vulnerabilidades identi!icadas# los participantes sin conocimientos t'cnicos no disponen de
su!iciente e2periencia para comentar la probabilidad de &ue un (ost est' en peligro en relacin a otro%
3in embargo# est4n de acuerdo en &ue los (osts remotos# o los (osts mviles# no reciben el mismo
nivel de administracin &ue los de la *"?% 3e debate la necesidad de &ue los asesores !inancieros
revisen peridicamente los in!ormes de actividad para detectar comportamientos no autori)ados% Estos
comentarios se recopilan $ los tendr4 en cuenta el e&uipo de administracin de riesgos de seguridad
durante la !ase de apo$o a la toma de decisiones%
Resumen del de"ate acerca de los riesgos
"l !inal del debate acerca de los riesgos# resuma brevemente los riesgos identi!icados para !acilitar el
cierre de la reunin% "simismo# recuerde a los participantes el proceso de administracin de riesgos
global $ calendario% *a in!ormacin recopilada en el debate acerca de los riesgos otorga a los
participantes una !uncin activa en el proceso de administracin de riesgos $ o!rece in!ormacin
valiosa al e&uipo de administracin de riesgos de seguridad%
E)emplo de 7oodgrove: el responsable de evaluacin de riesgos resume el debate $ destaca los
activos# amena)as $ vulnerabilidades &ue se (an tratado% /ambi'n describe el proceso de
administracin de riesgos global e in!orma al grupo de debate el (ec(o de &ue el e&uipo de
administracin de riesgos de seguridad (ar4 uso de su in!ormacin# $ la de otros# al estimar la
probabilidad de cada amena)a o vulnerabilidad%
Definicin de las declaraciones de consecuencias
*a 6ltima tarea del paso de recopilacin de datos !acilitados consiste en anali)ar la cantidad
posiblemente grande de in!ormacin recopilada durante los debates acerca de los riesgos% El resultado
de este an4lisis es una lista de declaraciones &ue describen el activo $ la e2posicin posible debido a
una amena)a $ vulnerabilidad% /al como se (a de!inido en el captulo -# estas declaraciones se
denominan declaraciones de repercusiones% *as repercusiones se determinan mediante la combinacin
de la clase de activos con el nivel de e2posicin posible para el activo% ecuerde &ue las repercusiones
son la mitad de la declaracin de riesgo5 las repercusiones se combinan con la probabilidad de &ue
suceda para completar la declaracin de riesgo%
El e&uipo de administracin de riesgos de seguridad crea las declaraciones de repercusiones mediante
la consolidacin de la in!ormacin recopilada en los debates acerca de los riesgos# la incorporacin de
las repercusiones identi!icadas anteriormente $# tambi'n# la inclusin de datos de repercusiones de
sus propias observaciones% El e&uipo de administracin de riesgos de seguridad es responsable de esta
tarea# pero debe solicitar in!ormacin adicional a los participantes seg6n sea necesario%
*a declaracin de repercusiones contiene el activo# la clase de activos# el nivel de de!ensa en
pro!undidad# la descripcin de la amena)a# la descripcin de la vulnerabilidad $ la clasi!icacin de
e2posicin% :tilice la in!ormacin registrada en la plantilla de recopilacin de datos para de!inir las
declaraciones de repercusiones para todos los debates !acilitados% En la !igura 4%4 se muestran los
encabe)ados de columna correspondientes de la plantilla de riesgo de nivel de resumen para recopilar
los datos espec!icos de repercusiones%
Figura 4.4 'o)a de tra"a)o de nivel de riesgo de resumen: columnas Activo & E,posicin
4-AR5'erramienta16
E)emplo de 7oodgrove: la in!ormacin de e+emplo recopilada durante los debates acerca de los
riesgos se puede organi)ar mediante el desarrollo de declaraciones de repercusiones% El e&uipo de
administracin de riesgos de seguridad puede documentar las declaraciones de repercusiones
mediante !rases5 por e+emplo# .*a integridad de los datos de cliente de alto valor puede estar
amena)ada por el robo de credenciales de (osts administrados de !orma remota.% "un&ue este
en!o&ue es preciso# la elaboracin de !rases no sirve para una gran cantidad de riesgos debido a las
inco(erencias en la redaccin# la comprensin $ la ausencia de datos de organi)acin 7clasi!icacin o
consulta de riesgos9% :n en!o&ue m4s e!ica) consiste en asignar los datos de repercusiones a la tabla
de nivel de resumen tal como se muestra a continuacin%
Figura 4.8 E)emplo de 7oodgrove: $nformacin o"tenida durante el proceso de recopilacin de
datos 4-AR5'erramienta16
*ota: en la siguiente seccin# titulada ."signacin de prioridades a los riesgos.# se proporcionan
indicaciones adicionales acerca de la seleccin $ documentacin de la clasi!icacin de e!ecto
empleadas en el proceso de riesgos de nivel de resumen%
Resumen de recopilacin de datos
,ediante la consolidacin de la in!ormacin obtenida durante los debates de recopilacin de datos en
declaraciones de repercusiones individuales# el e&uipo de administracin de riesgos de seguridad (a
concluido las tareas del paso de recopilacin de datos !acilitados de la !ase de evaluacin de riesgos%
En la siguiente seccin# ."signacin de prioridades a los riesgos.# se detallan las tareas de la
asignacin de prioridades a los riesgos% Durante la asignacin de prioridades# el e&uipo de
administracin de riesgos de seguridad se encarga de estimar la probabilidad de cada declaracin de
repercusiones% " continuacin# dic(o e&uipo combina las declaraciones de repercusiones con sus
estimaciones de probabilidad de &ue suceda% El resultado es una lista e2(austiva de riesgos con
prioridades# lo &ue conclu$e la !ase de evaluacin de riesgos%
"l anali)ar los riesgos se pueden identi!icar riesgos &ue dependen de &ue otros se produ)can% Por
e+emplo# si se produce un incremento de privilegio en un activo de repercusin ba+a en la empresa# se
puede &uedar e2puesto un activo de repercusin alta en la empresa% Este e+ercicio es v4lido5 no
obstante# las dependencias de los riesgos pueden llegar a generar una cantidad ingente de datos &ue
se tienen &ue recopilar# administrar $ (acer un seguimiento de ellos% El proceso de administracin de
riesgos de seguridad de ,icroso!t recomienda destacar las dependencias seg6n sea !actible# pero
normalmente no es rentable administrar todas las dependencias de los riesgos% El ob+etivo global es
identi!icar $ administrar los riesgos de m42ima prioridad para la empresa%
Asignacin de prioridades a los riesgos
/al como se (a tratado en la seccin anterior# el paso de recopilacin de datos !acilitados de!ine las
tareas para elaborar una lista de declaraciones de repercusiones para identi!icar los activos
organi)ativos $ sus posibles repercusiones% En esta seccin se describe el siguiente paso de la !ase de
evaluacin de riesgos: la asignacin de prioridades a los riesgos% El proceso de asignacin de riesgos
incorpora el elemento de probabilidad a la declaracin de repercusiones% ecuerde &ue una
declaracin de riesgo bien elaborada re&uiere tanto las repercusiones para la organi)acin como la
probabilidad de &ue se produ)can% El proceso de asignacin de prioridades se puede considerar como
el 6ltimo paso en la .de!inicin de los riesgos m4s importantes para la organi)acin.% 3u resultado
!inal es una lista de prioridades de riesgos &ue se utili)ar4 como la in!ormacin para el proceso de
apo$o a la toma de decisiones &ue se describe en el captulo 5# ."po$o a la toma de decisiones.%
El grupo de seguridad de in!ormacin es el 6nico responsable del proceso de asignacin de
prioridades% El e&uipo puede consultar a participantes con conocimientos t'cnicos $ sin dic(os
conocimientos# pero es su responsabilidad determinar la probabilidad de las repercusiones posibles
para la organi)acin%
,ediante la aplicacin del proceso de administracin de riesgos de seguridad de ,icroso!t# el nivel de
probabilidad tiene la capacidad de incrementar la toma de conciencia de un riesgo a los m42imos
niveles de la organi)acin o puede reducirla tanto &ue el riesgo se pueda aceptar sin m4s debate% *a
estimacin de la probabilidad de riesgo re&uiere &ue el e&uipo de administracin de riesgos de
seguridad dedi&ue muc(o tiempo a evaluar e2(austivamente cada combinacin de amena)a $
vulnerabilidad de prioridad% Cada combinacin se eval6a seg6n los controles actuales para tener en
cuenta la e!icacia de dic(os controles &ue pueda in!luir en la probabilidad de repercusiones para la
organi)acin% Este proceso puede resultar abrumador para organi)aciones grandes $ puede
comprometer la decisin inicial de invertir en un programa de administracin de riesgos !ormal% Para
reducir el tiempo dedicado a la asignacin de prioridades a los riesgos# el proceso se puede dividir en
dos tareas: un proceso de nivel de resumen $ otro de nivel detallado%
En el proceso de nivel de resumen se genera una lista de riesgos con prioridades mu$ r4pidamente#
similar a los procedimientos de seleccin &ue se utili)an en las (abitaciones de urgencias (ospitalarias
para garanti)ar &ue se o!rece a$uda a los pacientes &ue m4s la necesitan en primer lugar% ?o
obstante# el inconveniente es &ue se produce una lista &ue slo contiene comparaciones de alto nivel
entre los riesgos% :na larga lista de nivel de resumen de los riesgos en &ue cada uno se considere alto
no proporciona su!icientes indicaciones al e&uipo de administracin de riesgos de seguridad ni le
permite asignar prioridades a las estrategias de mitigacin% En todo caso# los e&uipos pueden clasi!icar
r4pidamente los riesgos para identi!icar los riesgos altos $ moderados# lo &ue permite &ue el e&uipo de
administracin de riesgos de seguridad centre sus es!uer)os slo en los riesgos &ue parecen m4s
importantes%
En el proceso de nivel detallado se elabora una lista con m4s detalle &ue permite di!erenciar
!4cilmente los riesgos entre s% *a vista de riesgos detallada permite la clasi!icacin apilada de los
riesgos $ tambi'n inclu$e una vista m4s detallada del posible e!ecto !inanciero derivado del riesgo%
Este elemento cuantitativo !acilita el c4lculo de costos de los debates de controles en el proceso de
apo$o a la toma de decisiones# &ue se describe en el siguiente captulo%
"lgunas organi)aciones pueden optar por no elaborar una lista de riesgos de nivel de resumen% 3i no
se anali)a# puede parecer &ue esta estrategia a(orra tiempo# pero no es as% ,inimi)ar el n6mero de
riesgos en la lista de nivel detallado# en 6ltima instancia# (ace &ue el proceso de evaluacin de riesgos
sea m4s e!ica)% :n ob+etivo principal del proceso de administracin de riesgos de seguridad de
,icroso!t es simpli!icar el proceso de evaluacin de riesgos mediante el e&uilibrio entre la granularidad
agregada al an4lisis de riesgos $ el es!uer)o necesario para calcular el riesgo% 3imult4neamente#
intenta promover $ conservar la claridad en relacin con la lgica in(erente para &ue los participantes
dispongan de una comprensin clara de los riesgos para la organi)acin%
"lgunos riesgos pueden tener la misma clasi!icacin en la lista de resumen $ en la detallada5 no
obstante# las clasi!icaciones o!recen su!iciente in!ormacin para determinar si el riesgo es importante
para la organi)acin $ si debe pasar al proceso de apo$o a la toma de decisiones%
*ota: el ob+etivo !inal de la !ase de evaluacin de riesgos es de!inir los m4s importantes para la
organi)acin% El ob+etivo de la !ase de apo$o a la toma de decisiones es determinar lo &ue se debe
(acer para solucionarlos%
*os e&uipos normalmente se estancan en esta etapa mientras los participantes debaten la importancia
de varios riesgos% Para reducir los posibles retardos# apli&ue las siguientes tareas seg6n resulte
adecuado para su organi)acin:
1% 3in emplear t'rminos t'cnicos# de!ina los riesgos de nivel alto $ medio para la organi)acin
antes de iniciar el proceso de asignacin de prioridades%
2% Centre la atencin en los riesgos &ue est4n en el lmite entre los niveles alto $ medio%
-% Evite debatir el modo de a!rontar los riesgos antes de decidir si es importante% Preste atencin
a los participantes &ue tengan soluciones preconcebidas en mente $ bus&uen resultados para
proporcionar +usti!icacin al pro$ecto%
En el resto de esta seccin se tratan los !actores de '2ito $ las tareas para crear las clasi!icaciones de
riesgos de nivel de resumen $ detallado% En las siguientes tareas $ en la !igura 4%E se o!rece
in!ormacin general de la seccin $ los componentes clave del proceso de asignacin de prioridades a
los riesgos%
%areas & componentes principales
%area 1: elaborar la lista de nivel de resumen mediante clasi!icaciones amplias para estimar la
probabilidad de repercusiones para la organi)acin%
Resultado: lista de nivel de resumen para identi!icar r4pidamente la prioridad de los riesgos
para la organi)acin%
%area 1: revisar la lista de nivel de resumen con los participantes para empe)ar a alcan)ar
consenso en la prioridad de los riesgos $ seleccionar los riesgos para la lista de nivel detallado%
%area 3: elaborar la lista de nivel detallado mediante el e2amen de los atributos detallados del
riesgo en el entorno de negocios actual% Esto inclu$e indicaciones para determinar la estimacin
cuantitativa de cada riesgo%
Resultado: lista de nivel detallado &ue proporciona in!ormacin e2(austiva de los riesgos
principales para la organi)acin%
Figura 4.9 %areas de asignacin de prioridades a los riesgos
*ota: el resultado de riesgos de nivel detallado se revisar4 con los participantes en el proceso de
apo$o a la toma de decisiones descrito en el captulo 5%
Preparacin para el +,ito
*a asignacin de prioridades a los riesgos para la organi)acin no es una mera propuesta% El e&uipo de
administracin de riesgos de seguridad debe intentar predecir el !uturo mediante la estimacin de
cu4ndo $ cmo las posibles repercusiones pueden a!ectar a la organi)acin $# a continuacin# debe
+usti!icar estas predicciones ante los participantes% :n error (abitual &ue cometen muc(os e&uipos es
.ocultar. las tareas empleadas para determinar la probabilidad $ utili)ar c4lculos para representar la
probabilidad en porcenta+es u otras ci!ras de resultados a las &ue suponen &ue los responsables de
negocios responder4n m4s r4pidamente% Pero la e2periencia al desarrollar el proceso de
administracin de riesgos de seguridad de ,icroso!t (a demostrado &ue los participantes son m4s
propensos a aceptar los an4lisis del e&uipo de administracin de riesgos de seguridad si la lgica es
clara durante el proceso de asignacin de prioridades% El proceso se centra en la comprensin por
parte de los participantes a lo largo del mismo% *a lgica de asignacin de prioridades debe ser lo m4s
simple posible para lograr el consenso r4pidamente $ reducir los malentendidos% *a e2periencia en
elaboracin de evaluaciones de riesgos en el departamento de /8 de ,icroso!t $ otras empresas (a
demostrado &ue las siguientes pr4cticas recomendadas resultan 6tiles para el e&uipo de
administracin de riesgos de seguridad durante el proceso de asignacin de prioridades:
"nali)ar los riesgos durante el proceso de recopilacin de datos% Debido a &ue la asignacin de
prioridades a los riesgos puede ocupar muc(o tiempo# intente anticiparse a los riesgos
controvertidos e inicie el proceso de asignacin de prioridades lo m4s pronto posible% Este m'todo
abreviado es posible debido a &ue el e&uipo de administracin de riesgos de seguridad es el 6nico
responsable del proceso de asignacin de prioridades%
*leve a cabo la investigacin para generar credibilidad para estimar la probabilidad% :tilice los
in!ormes de auditora anteriores $ tenga en cuenta las tendencias del sector as como las
incidencias de seguridad internas seg6n resulte adecuado% 0uelva a consultar a los participantes
seg6n sea necesario para obtener in!ormacin acerca de los controles actuales $ la toma de
conciencia de los riesgos espec!icos en sus entornos%
Programe tiempo su!iciente en el pro$ecto para llevar a cabo investigaciones $ reali)ar an4lisis de la
e!ectividad $ las capacidades del entorno de controles actual%
ecuerde a los participantes &ue el e&uipo de administracin de riesgos de seguridad tiene la

responsabilidad de determinar la probabilidad% El patrocinador e+ecutivo tambi'n debe reconocer
esta !uncin $ apo$ar el an4lisis del e&uipo de administracin de riesgos de seguridad%
Comunicar el riesgo en t'rminos de negocios% Evite utili)ar e2presiones relacionadas con el miedo o
+erga t'cnica en el an4lisis de asignacin de prioridades% El e&uipo de administracin de riesgos de
seguridad debe comunicar el riesgo en unos t'rminos &ue la organi)acin comprenda $ evitar la
tentacin de e2agerar el nivel de peligro%
econciliar los nuevos riesgos con los anteriores% "l crear la lista de nivel de resumen# incorpore los
riesgos de las evaluaciones anteriores% Esto permite &ue el e&uipo de administracin de riesgos de
seguridad realice un seguimiento de los riesgos en varias evaluaciones $ proporcione la ocasin de
actuali)ar los elementos de riesgo anteriores seg6n sea necesario% Por e+emplo# si un riesgo anterior
no se (a mitigado debido a los altos costos de mitigacin# revise la probabilidad de &ue el riesgo se
produ)ca $ vuelva a tener en cuenta los cambios en la solucin o costos de mitigacin%
Asignacin de prioridades a los riesgos de seguridad
En la siguiente seccin se e2plica el proceso de elaboracin de las listas de riesgos de nivel de
resumen $ detallado% Puede resultar 6til imprimir las plantillas de apo$o para cada proceso &ue se
encuentran en la seccin de (erramientas%
Asignacin de prioridades a riesgos de nivel de resumen
*a lista de nivel de resumen utili)a la declaracin de repercusiones generada durante el proceso de
proceso de recopilacin de datos% *a lista de declaracin de repercusiones es el primero de los dos
elementos de in!ormacin de la vista de resumen% El segundo elemento de in!ormacin es la
estimacin de probabilidades &ue (a determinado el e&uipo de administracin de riesgos de seguridad%
En las siguientes tres tareas se proporciona in!ormacin general acerca del proceso de asignacin de
prioridades de nivel de resumen:
%area 1: determinar el valor de las repercusiones a partir de las declaraciones de repercusiones

elaboradas en el proceso de recopilacin de datos%
%area 1: estimar la probabilidad de las repercusiones para la lista de nivel de resumen%
%area 3: completar la lista de nivel de resumen mediante la combinacin de los valores de

repercusiones $ de probabilidad por cada declaracin de riesgo%
%area 1: Determinar el nivel de las repercusiones
*a in!ormacin de clase de activos $ de e2posicin de activo obtenida en el proceso de recopilacin de
datos se debe resumir en un solo dato para determinar las repercusiones% ecuerde &ue las
repercusiones son la combinacin de la clase de activos $ el alcance de e2posicin al activo% :tilice la
siguiente !igura para seleccionar el nivel por cada declaracin de repercusiones%
'o)a de tra"a)o de anlisis de riesgos: clase de activos & nivel de e,posicin 4-AR5'erramienta16
E)emplo de 7oodgrove: recuerde &ue el e+emplo de Joodgrove tena tres declaraciones de
repercusiones% En la siguiente lista se resumen estas declaraciones mediante la combinacin de la
clase de activos $ el nivel de e2posicin:
1% epercusin de robo por parte de empleados de con!ian)a: clase de activos de repercusin alta
en la empresa $ e2posicin ba+a% 3eg6n la !igura anterior# esto implica una repercusin
moderada%
2% epercusin de peligro de los (osts de la *"?: clase de activos de repercusin alta en la
empresa $ e2posicin alta causan una repercusin alta%
-% epercusin de peligro de los (osts remotos: clase de activos de repercusin alta en la
empresa $ e2posicin alta causan una repercusin alta%
%area 1: Estimar la pro"a"ilidad de nivel de resumen
:tilice las mismas categoras de probabilidad descritas en el proceso de recopilacin de datos% *as
categoras de probabilidad se inclu$en a continuacin como re!erencia:
Alta: mu$ probable# previsin de uno o varios ata&ues en un a1o%
Media: probable# previsin de ata&ue una ve) al menos en dos a tres

a1os%
2a)a: no probable# no se prev' ning6n ata&ue en tres a1os%

E)emplo de 7oodgrove: la asignacin de prioridades a riesgos de nivel de resumen es el primer
documento !ormal de la estimacin del e&uipo de administracin de riesgos de seguridad acerca de la
probabilidad de riesgo% El e&uipo de administracin de riesgos de seguridad debe estar preparado para
proporcionar pruebas o casos &ue +usti!i&uen sus estimaciones5 por e+emplo# re!erencias a incidencias
anteriores o a la e!ectividad de los controles actuales% En la siguiente lista se resumen los niveles de
probabilidad para el e+emplo de Joodgrove:
1% Probabilidad de robo por parte de empleados de con!ian)a: ba+a% Joodgrove ?ational >anH se
enorgullece de contratar a empleados de con!ian)a% El e&uipo directivo comprueba esta
con!ian)a mediante comprobaciones de antecedentes $ e!ect6a auditoras aleatorias de la
actividad de los asesores !inancieros% En el pasado no se (an identi!icado incidencias
relacionadas con el abuso por parte los empleados%
2% Probabilidad de peligro de los (osts de la *"?: media% El departamento de /8 (a !ormali)ado
recientemente su proceso de revisiones $ con!iguracin en la *"? debido a inco(erencias en
a1os anteriores% Debido a la naturale)a descentrali)ada del banco# en ocasiones los sistemas se
(an identi!icados como no con!ormes5 no obstante# no se (a in!ormado de incidencias en los
6ltimos meses%
-% Probabilidad de peligro de los (osts remotos: alta% *os (osts remotos normalmente no son
compatibles durante largos perodos de tiempo% /ambi'n se (an identi!icado incidencias
recientes relacionadas con in!ecciones de virus $ gusanos en los (osts remotos%
%area 3: #ompletar la lista de nivel de resumen
Despu's de &ue el e&uipo de administracin de riesgos de seguridad estime la probabilidad# utilice la
siguiente !igura para seleccionar la clasi!icacin de riesgo de nivel de resumen%
Figura 4.: 'o)a de tra"a)o de anlisis de riesgos: repercusiones & pro"a"ilidad
4-AR5'erramienta16
*ota: seg6n resulte adecuado para su organi)acin# el nivel de riesgo de una repercusin media
combinada con una probabilidad media se puede de!inir como riesgo alto% De!inir los niveles de riesgo
independientemente del proceso de evaluacin de riesgos proporciona las indicaciones necesarias para
tomar esta decisin% ecuerde &ue la gua de administracin de riesgos de seguridad es una
(erramienta para !acilitar el desarrollo de un programa de administracin de riesgos e2(austivo $
co(erente% Cada organi)acin debe de!inir lo &ue signi!ica riesgo alto para su propia empresa%
E)emplo de 7oodgrove: la combinacin de las clasi!icaciones de repercusiones $ de probabilidad da
como resultado las siguientes clasi!icaciones de riesgos:
1% iesgo de robo por parte de empleados de con!ian)a: ba+o 7repercusin media# probabilidad
ba+a9
2% iesgo de peligro de los (osts de la *"?: alto 7repercusin alta# probabilidad media9
-% iesgo de peligro de los (osts remotos: alto 7repercusin alta# probabilidad alta9
Como revisin# en la siguiente !igura se representan todas las columnas de la lista de nivel de
resumen# &ue tambi'n est4 incluida en ;"3<erramienta2=?ivel de riesgo de resumen%2ls
Figura 4.; 'o)a de tra"a)o de anlisis de riesgos: lista de nivel de resumen 4-AR5'erramienta16
3eg6n resulte adecuado para su organi)acin# agregue columnas para incluir in!ormacin de apo$o#
por e+emplo# la columna .Gec(a de identi!icacin. para di!erenciar los riesgos identi!icados en
evaluaciones anteriores% /ambi'n puede agregar columnas para actuali)ar las descripciones de riesgo
o destacar cambios en el riesgo &ue se (a$an producido desde la evaluacin anterior% Debe adaptar el
proceso de administracin de riesgos de seguridad de ,icroso!t# incluidas las (erramientas# para
a+ustarlo a sus necesidades espec!icas%
E)emplo de 7oodgrove: la siguiente !igura completa el e+emplo de la lista de riesgos de nivel de
resumen para Joodgrove >anH% /enga en cuenta &ue las columnas .Probabilidad. $ .?ivel de riesgo
de resumen. se (an agregado a la in!ormacin de declaracin de repercusiones para completar los
elementos de una declaracin de riesgo bien elaborada%
Figura 4.1< E)emplo de lista de riesgos de nivel de resumen de 7oodgrove 2an=
4-AR5'erramienta16
Revisin con los participantes
*a siguiente tarea del proceso de asignacin de prioridades es la revisin de los resultados de resumen
con los participantes% *os ob+etivos son mantener in!ormados a los participantes acerca del proceso de
evaluacin de riesgos $ solicitar su colaboracin para seleccionar los riesgos de los &ue se reali)ar4 un
an4lisis m4s detallado% :tilice los siguientes criterios al seleccionar los riesgos &ue se incluir4 en el
proceso de asignacin de prioridades de nivel detallado:
Riesgos de nivel alto: los riesgos clasi!icados como altos se deben incluir en la lista detallada%
Cada riesgo alto debe tener una resolucin despu's del proceso de apo$o a la toma de decisiones5
por e+emplo# aceptar el riesgo o desarrollar una solucin de mitigacin%
Riesgos dudosos: cree el an4lisis de asignacin de prioridades detallado para riesgos moderados
&ue re&uieren una resolucin% En algunas organi)aciones se pueden llegar a incluir todos los riesgos
moderados en la lista detallada%
Riesgos controvertidos: si un riesgo es nuevo# no se (a comprendido bien o los participantes

tienen distintos puntos de vista# cree el an4lisis detallado para &ue los participantes tenga un
conocimiento m4s preciso del riesgo%
E)emplo de 7oodgrove: tenga en cuenta &ue el riesgo .obo por parte de empleados de con!ian)a.
se (a clasi!icado como >a+o en la lista de riesgos de nivel de resumen% En este punto del proceso de
asignacin de prioridades# todos los participantes comprenden per!ectamente este riesgo% En el caso
de Joodgrove# sirve de e+emplo de un riesgo &ue no es necesario graduar en el paso de asignacin de
prioridades a riesgos de nivel detallado% Para el resto del e+emplo de Joodgrove# slo se asignan
prioridades a los riesgos de peligro de (osts de la *"? $ remotos%
Asignacin de prioridades a riesgos de nivel detallado
*a elaboracin de la lista de riesgos de nivel detallado es la 6ltima tarea del proceso de evaluacin de
riesgos% *a lista detallada tambi'n constitu$e una de las tareas m4s importantes por&ue permite &ue
la organi)acin comprenda la lgica sub$acente en los riesgos m4s importantes para la empresa%
Despu's de completar el proceso de evaluacin de riesgos# en ocasiones la simple noti!icacin de un
riesgo bien documentado a los participantes basta para desencadenar la accin% En el caso de las
organi)aciones sin un programa de administracin de riesgos !ormal# el proceso de administracin de
riesgos de seguridad de ,icroso!t puede suponer una e2periencia reveladora%
*ota: si todos los participantes comprenden bien un riesgo# el detalle del nivel de resumen puede ser
su!iciente para determinar la solucin de mitigacin adecuada%
*a lista de riesgos detallada aprovec(a muc(os de los elementos de in!ormacin de la lista de nivel de
resumen5 no obstante# la vista detallada re&uiere &ue el e&uipo de administracin de riesgos de
seguridad sea m4s espec!ico en sus descripciones de repercusiones $ de probabilidad% Por cada riesgo
de nivel de resumen# compruebe &ue cada combinacin de amena)a $ vulnerabilidad no se repite en
los riesgos% ?ormalmente es posible &ue los riesgos de nivel de resumen no se describan lo su!iciente
como para &ue se asocien a controles espec!icos del entorno5 en este caso# no podr4 estimar la
probabilidad de &ue suceda de !orma precisa% Por e+emplo# puede me+orar la descripcin de amena)a
de la siguiente declaracin de riesgo de nivel de resumen para describir dos riesgos distintos:
Declaracin de riesgo de nivel de resumen:
En el pla)o de un a1o# los servidores de alto valor se pueden ver a!ectados moderadamente por un
gusano debido a con!iguraciones a las &ue no se (an aplicado revisiones%
Declaracin de nivel detallado 1:
En el pla)o de un a1o# los servidores de alto valor pueden no estar disponibles durante tres das
debido a una propagacin de gusano provocada por con!iguraciones a las &ue no se (an aplicado
revisiones%
Declaracin de nivel detallado 1:
En el pla)o de un a1o# los servidores de alto valor pueden estar en peligro, lo que afectara a la
integridad de los datos# debido a una propagacin de gusano provocada por con!iguraciones a las &ue
no se (an aplicado revisiones%
*ota: se recomienda !amiliari)arse con los an4lisis de riesgos detallados antes del proceso de
recopilacin de datos% Esto !acilita al e&uipo de administracin de riesgos de seguridad el plantear
preguntas espec!icas durante los debates iniciales de recopilacin de datos con los participantes $
reduce la necesidad de reuniones de seguimiento%
*a lista de riesgos de nivel detallado tambi'n re&uiere declaraciones espec!icas acerca de la
e!ectividad del entorno de controles actual% Despu's de &ue el e&uipo de administracin de riesgos de
seguridad (a$a ad&uirido un conocimiento detallado de las amena)as $ vulnerabilidades &ue a!ectan a
la organi)acin# se puede iniciar el traba+o de conocer los detalles de los controles actuales% El entorno
de controles actual determina la probabilidad de riesgos para la organi)acin% 3i el entorno de
controles es su!iciente# la probabilidad de un riesgo para la organi)acin es ba+a% 3i no lo es# se debe
de!inir una estrategia de riesgos5 por e+emplo# aceptar el riesgo o desarrollar una solucin de
mitigacin% Como pr4ctica recomendada# se debe reali)ar un seguimiento de los riesgos
independientemente de su nivel de riesgo !inal% Por e+emplo# si el riesgo se considerable aceptable#
guarde esta in!ormacin para evaluaciones !uturas%
El 6ltimo elemento de la lista de riesgos de nivel detallado es una estimacin de cada riesgo en
t'rminos cuanti!icables $ monetarios% *a seleccin de un valor monetario para el riesgo no se produce
(asta &ue se (a empe)ado a traba+ar en la lista de nivel detallado debido al tiempo necesario para
lograr el consenso entre los participantes% Es posible &ue el e&uipo de administracin de riesgos de
seguridad tenga &ue volver a consultar a los participantes para obtener datos adicionales%
*as cuatro tareas siguientes describen el proceso para elaborar una lista de nivel detallado de los
riesgos% Puede ser 6til imprimir la plantilla de la seccin <erramientas denominada
.;"3<erramienta-="signacin de prioridades a los riesgos de nivel detallado%2ls.% El resultado es una
lista detallada de riesgos &ue a!ectan a la organi)acin% *a estimacin cuantitativa se determina
despu's del valor de riesgo detallado $ se describe en la siguiente seccin%
%area 1: determinar las repercusiones $ la e2posicin%
%area 1: identi!icar los controles actuales%
%area 3: determinar la probabilidad de repercusiones%
%area 4: determinar el nivel de riesgo detallado%

%area 1: determinar las repercusiones & la e,posicin
En primer lugar incorpore la clase de activos de la tabla de resumen en la plantilla detallada% "
continuacin# seleccione la e2posicin del activo% /enga en cuenta &ue la clasi!icacin de e2posicin de
la plantilla detallada contiene granularidad adicional en comparacin con el nivel de resumen% *a
clasi!icacin de e2posicin de la plantilla detallada es un valor de 1 a 5% ecuerde &ue la clasi!icacin
de e2posicin de!ine el alcance de los da1os en el activo% :tilice las siguientes plantillas como gua
para determinar la clasi!icacin de e2posicin adecuada para su organi)acin% Debido a &ue cada valor
de las ci!ras de e2posicin puede a!ectar al nivel de repercusiones en el activo# inserte el ma$or de los
valores despu's de (aber asignado las ci!ras% *a primera ci!ra de e2posicin a$uda a cuanti!icar el
alcance de las repercusiones de un ata&ue a la con!idencialidad o integridad de los activos de
negocios% *a segunda ci!ra a$uda a cuanti!icar las repercusiones en la disponibilidad de los activos%
Figura 4.11 'o)a de tra"a)o de anlisis de riesgos: clasificaciones de e,posicin de
confidencialidad o integridad 4-AR5'erramienta36
Despu's de tener en cuenta el alcance de los da1os producidos por posibles ata&ues a la
con!idencialidad $ la integridad# utilice la siguiente !igura para determinar el nivel de repercusiones
debido a la ausencia de disponibilidad del activo% 3eleccione el valor m4s alto como el nivel de
e2posicin de ambas tablas%
Figura 4.11 'o)a de tra"a)o de anlisis de riesgos: clasificaciones de e,posicin de disponi"ilidad
4-AR5'erramienta36
:tilice la !igura como orientacin recopilar clasi!icaciones de e2posicin por cada ata&ue posible% 3i los
debates de recopilacin de datos no (an proporcionado su!icientes detalles acerca de los posibles
niveles de e2posicin# es posible &ue tenga revisarlos con el responsable del activo espec!ico% /al
como se (a mencionado en la seccin de recopilacin de datos# (aga re!erencia a las descripciones de
e2posicin anteriores durante los debates acerca de los riesgos seg6n sea necesario%
E)emplo de 7oodgrove: en la siguiente lista se resumen las clasi!icaciones de e2posicin para los
dos riesgos restantes:
1% Clasi!icacin de e2posicin de peligro de los (osts de la *"?: 4% *as repercusiones de negocios
pueden ser graves $ visibles e2ternamente# pero no deben da1ar por completo todos los datos
!inancieros de consumidor% Por lo tanto# se (a seleccionado una clasi!icacin de 4%
2% Clasi!icacin de e2posicin de peligro de los (osts remotos: 4 7igual &ue en el caso anterior9%
Despu's de identi!icar la clasi!icacin de e2posicin# estar4 preparado para determinar el valor de las
repercusiones si rellena las columnas correspondientes de ;"3<erramienta-="signacin de
prioridades a los riesgos de nivel detallado%2ls $ calcula el valor% En el proceso de riesgos de nivel
detallado# las repercusiones son el producto del valor de clase de repercusin $ el !actor de
e2posicin% " cada clasi!icacin de e2posicin se le asigna un porcenta+e &ue re!le+a el alcance de los
da1os en el activo% Este porcenta+e se denomina !actor de e2posicin% El proceso de administracin de
riesgos de seguridad de ,icroso!t recomienda una escala lineal del 100N de e2posicin al 20N5
realice los a+ustes pertinentes seg6n su organi)acin% Cada valor de repercusin tambi'n se asocia a
un valor cualitativo de alto# medio o ba+o% Esta clasi!icacin resulta 6til para comunicar el nivel de
repercusin $ reali)ar el seguimiento de los elementos de riesgo en los c4lculos de riesgos detallados%
Como a$uda# en la siguiente !igura tambi'n se muestran los posibles valores de repercusin para cada
clase de repercusin%
Figura 4.13 'o)a de tra"a)o de anlisis de riesgos: determinacin de los valores de repercusin
4-AR5'erramienta36
E)emplo de 7oodgrove: en la siguiente !igura se muestra el modo de determinar los valores de
clase de repercusin# clasi!icacin de e2posicin $ clasi!icacin de e!ecto global mediante el e+emplo de
Joodgrove%
Figura 4.14 E)emplo de 7oodgrove con valores detallados de clase de repercusin> clasificacin
de e,posicin & valor de repercusin 4-AR5'erramienta36
E+emplo de Joodgrove
%area 1: identificar los controles actuales
En ;"3<erramienta-="signacin de prioridades a los riesgos de nivel detallado%2ls se describen los
controles actuales de la organi)acin &ue en este momento reducen la probabilidad de la amena)a $ la
vulnerabilidad de!inida en la declaracin de repercusiones% En los c4lculos de probabilidad detallada
tambi'n se eval6a una clasi!icacin de e!ectividad de los controles5 no obstante# la documentacin de
los controles aplicables !acilita la comunicacin de los elementos de riesgo% Puede resultar 6til
organi)ar las descripciones de los controles en categoras conocidas de grupos de controles de
administracin# operaciones o t'cnicos% Esta in!ormacin tambi'n es 6til en el proceso de apo$o a la
toma de decisiones descrito en el captulo 5%
E)emplo de 7oodgrove: la siguiente representa una lista de e+emplo de los controles principales
para el .riesgo de peligro de los (osts de la *"?.% Consulte ;"3<erramienta-="signacin de
prioridades a los riesgos de nivel detallado%2ls para obtener descripciones de controles adicionales%
/enga en cuenta &ue las descripciones de los controles tambi'n se pueden emplear para +usti!icar las
clasi!icaciones de e2posicin:
*os asesores !iscales slo pueden tener acceso a las cuentas de las &ue son responsables5 por lo
tanto# la e2posicin es in!erior al 100N%
" todos los usuarios se les envan proactivamente avisos por correo electrnico para &ue se
apli&uen revisiones a los (osts o se actualicen%
El estado de las actuali)aciones de antivirus $ de seguridad se mide $ aplica en la *"? cada pocas
(oras% Este control reduce el intervalo de tiempo en el &ue los (osts de la *"? son vulnerables a los
ata&ues%
%area 3: determinar la pro"a"ilidad de repercusiones
*a clasi!icacin de probabilidad consta de dos valores% El primer valor determina la probabilidad de la
vulnerabilidad e2istente en el entorno seg6n los atributos de la misma $ al ata&ue posible% El segundo
valor determina la probabilidad de la vulnerabilidad e2istente en !uncin de la e!ectividad de los
controles actuales% Cada valor se representa mediante un intervalo de 1 a 5% :tilice las siguientes
!iguras como orientacin para determinar la probabilidad de cada repercusin en la organi)acin% "
continuacin# la clasi!icacin de probabilidad se multiplicar4 por la clasi!icacin de e!ecto para
determinar la clasi!icacin de riesgo relativo%
*ota: las !iguras 4%15 $ 4%1L (an servido de a$uda al departamento de /8 de ,icroso!t a comprender
las probabilidades de &ue los riesgos se produ)can en sus entornos% "+uste el contenido seg6n resulte
adecuado para su organi)acin%
El grupo de seguridad de in!ormacin se encarga del proceso de asignacin de prioridades $ debe
adaptar los atributos de las prioridades seg6n sea necesario% Por e+emplo# puede modi!icar las ci!ras
para centrarse en vulnerabilidades espec!icas de aplicacin en ve) de en vulnerabilidad de
in!raestructura empresarial si el 4mbito de evaluacin est4 centrado en el desarrollo de aplicaciones%
El ob+etivo es disponer de un con+unto co(erente de criterios para evaluar el riesgo en el entorno%
En la siguiente !igura se inclu$en estos atributos de vulnerabilidad:
Po"lacin de piratas informticos: la probabilidad de ata&ue normalmente aumenta a medida

&ue se incrementa el tama1o $ el nivel de conocimientos t'cnicos de la poblacin de piratas
in!orm4ticos%
Acceso remoto & local: la probabilidad normalmente aumenta si una vulnerabilidad se puede
aprovec(ar de !orma remota%
!isi"ilidad de vulnera"ilidad: la probabilidad normalmente aumenta si una vulnerabilidad es

conocida $ est4 disponible de !orma p6blica%
Automatiacin de ata/ue: la probabilidad normalmente aumenta si un ata&ue se puede

programar para buscar autom4ticamente vulnerabilidades en entornos grandes%
ecuerde &ue la estimacin de probabilidad de un ata&ue es sub+etiva por naturale)a% :tilice los
atributos anteriores como orientacin para determinar $ +usti!icar las estimaciones de probabilidad% El
e&uipo de administracin de riesgos de seguridad debe basarse $ promover su e2periencia para
seleccionar $ +usti!icar sus predicciones%
Figura 4.18 'o)a de tra"a)o de anlisis de riesgos: evaluacin de la vulnera"ilidad
4-AR5'erramienta36
3eleccione la clasi!icacin adecuada en la siguiente !igura%
Figura 4.19 'o)a de tra"a)o de anlisis de riesgos: evaluacin del valor de pro"a"ilidad
4-AR5'erramienta36
E)emplo de 7oodgrove: para los (osts de la *"? $ remotos# es probable &ue todos los atributos de
vulnerabilidad de la categora "lta se aprecien dentro $ !uera del entorno *"? de Joodgrove en el
!uturo pr2imo% Por lo tanto# el valor de vulnerabilidad es de 5 para ambos riesgos%
En la siguiente !igura se eval6a la e!ectividad de los controles actuales% Este valor es sub+etivo por
naturale)a $ se basa en la e2periencia del e&uipo de administracin de riesgos de seguridad para
comprender su entorno de controles% esponda cada pregunta $# despu's# sume los valores para
determinar la clasi!icacin !inal de los controles% :n valor menor signi!ica &ue los controles son
e!icaces $ pueden reducir la probabilidad de &ue se produ)ca un ata&ue%
Figura 4.1? 'o)a de tra"a)o de anlisis de riesgos: evaluacin de la efectividad de los controles
actuales 4-AR5'erramienta36
E)emplo de 7oodgrove: para mostrar el modo en &ue se pueden utili)ar los valores de e!ectividad
de los controles# en la siguiente tabla se resumen los valores slo para el riesgo de peligro de los
(osts de la *"?5 consulte en ;"3<erramienta-="signacin de prioridades a los riesgos de nivel
detallado%2ls el e+emplo completo:
%a"la 4.1. E)emplo de 7oodgrove: valores de efectividad de los controles
Pregunta de efectividad de los
controles
!alor Descripcin
BEl control se (a de!inido $ e2igido de
!orma e!ica)C
0 7s9 *a creacin de directivas $ el control de
cumplimiento de los (osts est4n bien
de!inidos%
B*a toma de conciencia se comunica $
sigue de !orma e!ica)C
0 7s9 3e envan noti!icaciones peridicas a los
usuarios $ se llevan a cabo campa1as de
toma de conciencia generales%
B*os procesos se (an de!inido $ puesto
en pr4ctica de !orma e!ica)C
0 7s9 3e (an documentado $ seguido la medicin $
la aplicacin de con!ormidad%
B*a tecnologa o los controles e2istentes
reducen la amena)a de !orma e!ica)C
1 7no9 *os controles actuales seguir4n permitiendo
un perodo de tiempo entre la vulnerabilidad
$ la aplicacin de revisiones%
B3on su!icientes las pr4cticas de auditora
actuales para detectar el abuso o las
de!iciencias de controlC
0 7s9 *a medicin $ la auditora de con!ormidad
son e!icaces seg6n las (erramientas actuales%
5uma de todos los atri"utos de
control:
1
" continuacin# sume la ci!ra 0ulnerabilidad 7!igura 4%1E9 al valor de la ci!ra Control actual 7!igura
4%1L9 e incorprelo a la plantilla de nivel detallado% *a plantilla se muestra en la siguiente !igura como
re!erencia:
Figura 4.1: 'o)a de tra"a)o de anlisis de riesgos: clasificacin de pro"a"ilidad con control
4-AR5'erramienta36
E)emplo de 7oodgrove: la clasi!icacin de probabilidad total para el e+emplo de los (osts de la *"?
es de E 7valor de 5 para la vulnerabilidad m4s 1 para la e!ectividad del control9%
%area 4: determinar el nivel de riesgo detallado
En la siguiente !igura se muestra el resumen de nivel detallado para identi!icar el nivel de cada riesgo
identi!icado% "un&ue la evaluacin de riesgos en un nivel detallado pueda parecer complicada# se
puede (acer re!erencia a la lgica sub$acente en cada tarea de la clasi!icacin de riesgos mediante las
!iguras anteriores% Esta posibilidad de reali)ar el seguimiento de cada tarea en la declaracin de riesgo
proporciona un valor signi!icativo cuando se a$uda a los participantes a comprender los detalles
sub$acentes del proceso de evaluacin de riesgos%
Figura 4.1; 'o)a de tra"a)o de anlisis de riesgos: determinacin del nivel de riesgo detallado
4-AR5'erramienta36
E)emplo de 7oodgrove: en la siguiente !igura se muestra el e+emplo de la lista de riesgos detallada
de Joodgrove >anH% Estos datos tambi'n se presentan en ;"3<erramienta-%
Figura 4.1< E)emplo de 7oodgrove 2an= para la lista de riesgos detallada 4-AR5'erramienta36
En la !igura anterior se muestra el contenido de la clasi!icacin de riesgos $ sus elementos de datos%
/al como se (a indicado anteriormente# la clasi!icacin de riesgo es el producto de la clasi!icacin de
e!ecto 7con valores de 1 a 109 $ la clasi!icacin de probabilidad 7con valores de 0 a 109% De este modo
se genera un intervalo de valores de 0 a 100% "l aplicar la misma lgica empleada en la lista de
riesgos de nivel de resumen# el nivel de riesgo detallado tambi'n se puede comunicar en t'rminos
cualitativos de alto# medio o ba+o% Por e+emplo# una repercusin media $ una probabilidad alta
generan una clasi!icacin de riesgo alta% ?o obstante# la lista de nivel detallado o!rece especi!icidad
agregada para cada nivel de riesgo# tal como se muestra en la siguiente !igura%
Figura 4.11 'o)a de tra"a)o de anlisis de riesgos: determinacin de la clasificacin cualitativa de
resumen 4-AR5'erramienta36
:tilice los niveles de riesgo detallados slo como re!erencia% /al como se (a descrito en el captulo -#
el e&uipo de administracin de riesgos de seguridad debe poder comunicar a la organi)acin# por
escrito# el signi!icado de los riesgos altos# medios $ ba+os% El proceso de administracin de riesgos de
seguridad de ,icroso!t slo constitu$e una (erramienta para identi!icar $ administrar los riesgos en la
organi)acin de un modo co(erente $ repetible%
#uantificacin del riesgo
/al como se (a descrito en el captulo 2# el proceso de administracin de riesgos de seguridad de
,icroso!t primero aplica un en!o&ue cualitativo para identi!icar $ asignar prioridades a los riesgos de
un modo oportuno $ e!ica)% 3in embargo# cuando se selecciona la estrategia de mitigacin de riesgos
ptima# la estimacin del posible costo monetario de un riesgo tambi'n resulta una cuestin
importante% "s# para los riesgos de prioridad alta o controvertidos# el proceso tambi'n proporciona
indicaciones para determinar las estimaciones cuantitativas% *as tareas de cuanti!icacin de los riesgos
se llevan a cabo despu's del proceso de riesgos de nivel detallado debido al tiempo $ es!uer)os
considerables &ue se necesitan para alcan)ar un acuerdo en las estimaciones monetarios% Puede
dedicar muc(o tiempo en cuanti!icar los riesgos ba+os si (a cuanti!icado los riesgos al principio del
proceso%
Como es evidente# una estimacin monetaria resulta 6til al comparar los distintos costos de las
estrategias de mitigacin de riesgos5 no obstante# debido a la naturale)a sub+etiva de la valoracin de
activos intangibles# no e2iste un algoritmo e2acto para cuanti!icar el riesgo% El e+ercicio de estimar una
p'rdida monetaria e2acta en realidad puede retrasar la evaluacin de riesgos debido a los
desacuerdos entre los participantes% El e&uipo de administracin de riesgos de seguridad debe
estipular las e2pectativas de &ue la estimacin cuantitativa slo es uno de los muc(os valores para
determinar la prioridad o el costo posible de un riesgo%
:na venta+a de utili)ar el modelo cualitativo para asignar prioridades a los riesgos radica en la
posibilidad de aprovec(ar las descripciones cualitativas para aplicar un algoritmo cuantitativo de !orma
co(erente% Por e+emplo# el en!o&ue cuantitativo descrito a continuacin emplea la clase de activos $
las clasi!icaciones de e2posicin identi!icados en las discusiones de riesgos !acilitadas documentadas
con los participantes en la seccin de recopilacin de datos de este captulo%
De !orma similar al en!o&ue cualitativo# la primera tarea del m'todo cuantitativo consiste en
determinar el valor total del activo% En la segunda tarea se determina el alcance de da1os en el activo#
seguido de la estimacin de la probabilidad de &ue suceda% Para contribuir a reducir el grado de
sub+etividad en la estimacin cuantitativa# el proceso de administracin de riesgos de seguridad de
,icroso!t recomienda utili)ar las clases de activos para determinar el valor total del activo $ el !actor
de e2posicin para determinar el porcentaje de da1os en el activo% Este en!o&ue limita el resultado
cuantitativo a tres clases de activos $ cinco !actores de e2posicin# o 15 posibles valores de activo
cuantitativos% 3in embargo# el valor &ue estima la probabilidad no est4 limitado% 3eg6n resulte
adecuado para su organi)acin# puede optar por comunicar la probabilidad en t'rminos de intervalo de
tiempo o puede intentar en distribuir anualmente el costo del riesgo% El ob+etivo es encontrar un
e&uilibrio entre la !acilidad de seleccionar una clasi!icacin relativa en el en!o&ue cualitativo $ la
di!icultad de la valoracin monetaria $ estimar la probabilidad en el en!o&ue cuantitativo%
:tilice las cinco tareas siguientes para determinar el valor cuantitativo:
%area 1: asignar un valor monetario a cada clase de activos de la organi)acin%
%area 1: introducir el valor de activo de cada riesgo%
%area 3: generar el valor de e2pectativa de p'rdida simple%
%area 4: determinar la !recuencia anual%
%area 8: determinar la e2pectativa de p'rdida anual%

*ota: las tareas asociadas a la cuanti!icacin de riesgos de seguridad son similares a los pasos
utili)ados en el sector de seguros para estimar el valor de activo# el riesgo $ la cobertura adecuada% En
el momento de redactar esta gua# est4n empe)ando a surgir pli)as de seguro para riesgos de
seguridad de in!ormacin% " medida &ue el sector de seguros ad&uiera e2periencia en la evaluacin de
los riesgos de seguridad de in!ormacin# (erramientas como tablas actuariales se convertir4n en
re!erencias valiosas para cuanti!icar los riesgos%
%area 1: asignar valores monetarios a las clases de activos
,ediante las de!iniciones de las clases de activos descritas en la seccin de recopilacin de datos
!acilitados# inicie la cuanti!icacin de los activos &ue se a+usten a la descripcin de la clase de
repercusin alta en la empresa% Esto permite &ue el e&uipo de administracin de riesgos de seguridad
se centre primero en los activos m4s importantes para la organi)acin% Por cada activo# asigne valores
monetarios para la valoracin tangible e intangible para la organi)acin% :tilice las siguientes
categoras como re!erencia para estimar el costo total de repercusiones para cada activo:
Costo de reempla)o
Costos de sustentacin/mantenimiento
Costos de redundancia/disponibilidad
eputacin de la organi)acin/mercado
Productividad de la organi)acin
8ngresos anuales
0enta+a competitiva
endimiento operativo interno
esponsabilidad +urdica/normativa
*ota: la (o+a de c4lculo ;"3<erramienta-="signacin de prioridades a los riesgos de nivel detallado
contiene una (o+a de traba+o &ue puede !acilitar este proceso%
Despu's de disponer de las estimaciones monetarias de cada categora# sume los valores para
determinar la estimacin del activo% epita este proceso para todos los activos representados en la
clase de repercusin alta en la empresa% El resultado debe ser una lista de activos con prioridades $
una estimacin apro2imada de su valor monetario asociado para la organi)acin% epita este proceso
para los activos de las clases de repercusin moderada $ ba+a en la empresa%
Con cada clase de activos# seleccione un valor monetario para representar la valoracin de la clase de
activos% :n en!o&ue conservador consiste en seleccionar el valor de activo mnimo en cada clase% 3e
utili)ar4 para representar el valor de un activo seg6n la clase de activos seleccionada por los
participantes durante los debates de recopilacin de datos !acilitados% Este en!o&ue simpli!ica la tarea
de asignar valores monetarios a cada activo $a &ue se emplean las clases de activos seleccionadas en
los debates de recopilacin de datos%
*ota: otro en!o&ue para valorar los activos consiste en traba+ar con el e&uipo de administracin de
riesgos !inancieros &ue puede disponer de una tasacin de seguros $ datos de cobertura para activos
espec!icos%
@so de la importancia relativa como orientacin
3i tiene di!icultades para seleccionar los valores de clase de activos con el m'todo anterior# otro
en!o&ue consiste en emplear las directrices asociadas a la de!inicin de importancia relativa en los
estados !inancieros elaborados por las empresas de EE%::% con participacin en el mercado de
valores% *a comprensin de las directrices de importancia relativa por parte de su organi)acin puede
resultar 6til en la seleccin del valor de activo alto para la estimacin cuantitativa%
El organismo Ginancial "ccounting 3tandards >oard 7G"3>9 documenta lo siguiente en relacin con los
estados !inancieros de las empresas con participacin en el mercado de valores: .las disposiciones de
este estado no se tienen &ue aplicar a los elementos inmateriales.% Para obtener m4s in!ormacin#
consulte III%sec%gov/interps/account/sabFF%(tm%
Es importante tener en cuenta este pasa+e por&ue la G"3> no dispone de un algoritmo para
determinar lo &ue es material o inmaterial $ advierte en contra del uso de m'todos cuantitativos
estrictos% En su lugar# recomienda espec!icamente tener en cuenta todas las consideraciones
pertinentes: .la G"3> rec(a)a un en!o&ue !ormulista como alivio de Ola pesada tarea de tomar
decisiones acerca de la importancia relativaO en !avor de un en!o&ue &ue tenga en cuenta todas las
consideraciones pertinentes.%
"un&ue no e2iste una !rmula# el organismo 3ecurit$ E2c(ange Commission de EE%::# en el n6mero
FF de 3ta!! "ccounting >ulletin# reconoce el uso de una regla general de re!erencia en la contabilidad
p6blica &ue puede servir de a$uda para determinar las declaraciones errneas de activos materiales%
Para obtener m4s in!ormacin# consulte III%sec%gov/interps/account/sabFF%(tm% *a regla general de
re!erencia mencionada es el cinco por ciento de los valores del estado !inanciero% Por e+emplo# una
!orma de estimar la importancia relativa de un ingreso neto de oc(o mil millones de dlares sera
anali)ar las posibles declaraciones errneas de 400 millones de dlares o el con+unto de declaraciones
errneas &ue puedan sumar 400 millones de dlares%
*as directrices de importancia material varan considerablemente seg6n la organi)acin% :tilice las
directrices de de!inicin de importancia relativa slo como re!erencia% El proceso de administracin de
riesgos de seguridad de ,icroso!t en modo alguno pretende representar la posicin !inanciera de una
organi)acin%
El uso de las directrices de importancia relativa puede resultar 6til para estimar el valor de los activos
de repercusin alta en la empresa% ?o obstante# dic(as directrices pueden no resultar adecuadas al
seleccionar estimaciones moderadas $ ba+as% 3e (a de reconocer &ue la elaboracin de la estimacin
de repercusiones es sub+etiva por naturale)a% El ob+etivo es seleccionar valores &ue sean signi!icativos
para la organi)acin% Para determinar los valores moderados $ ba+os# es aconse+able seleccionar un
valor monetario &ue sea signi!icativo en relacin con el importe dedicado a la tecnologa de la
in!ormacin en la organi)acin% /ambi'n puede optar por (acer re!erencia a los costos actuales de los
controles espec!icos de seguridad &ue se aplicar4n a cada clase de activos% Por e+emplo# en el caso de
los activos de clase de repercusin moderada# se puede comparar el valor con el gasto monetario
actual en controles b4sicos de in!raestructura de red% Por e+emplo# Bcu4l es el costo total estimado
para so!tIare# (ardIare $ recursos operativos para proporcionar servicios antivirus a la organi)acinC
Esto proporciona una re!erencia para comparar los activos con un importe monetario conocido en la
organi)acin5 otro e+emplo: un valor de clase de repercusin moderada puede valorarse tanto como el
gasto actual en servidores de seguridad para proteger los activos%
E)emplo de 7oodgrove: el e&uipo de administracin de riesgos de seguridad de Joodgrove (a
traba+ado con los participantes clave para asignar valores monetarios a las clases de activos% Debido a
&ue en Joodgrove no tenan e2periencia en administracin de riesgos# la empresa decidi utili)ar las
directrices de importancia relativa con el !in de elaborar una lnea de base para valorar activos% Piensa
revisar las estimaciones a medida &ue ad&uiera e2periencia% Joodgrove genera un ingreso neto
apro2imado de 200 millones de dlares al a1o% "l aplicar el 5N de las directrices de importancia
relativa# a la clase de activos de repercusin alta en la empresa se le asigna un valor de 10 millones
de dlares% 3eg6n los gastos en /8 anteriores &ue se (an producido en Joodgrove# los participantes
(an seleccionado un valor de 5 millones de dlares para los activos de repercusin media $ 1 milln de
dlares para los de repercusin ba+a% 3e (an seleccionado estos valores por&ue los grandes pro$ectos
de /8 emprendidos para dar apo$o $ proteger los activos digitales en Joodgrove (istricamente (an
estado en estos intervalos% Dic(os valores tambi'n se volver4n a revisar durante el siguiente ciclo de
administracin de riesgos anual%
%area 1: identificar el valor del activo
Despu's de determinar los valores de las clases de activos de la organi)acin# identi!i&ue $ seleccione
el valor adecuado para cada riesgo% El valor de clase de activos debe estar alineado con el grupo de
clase de activos seleccionado por los participantes en los debates de recopilacin de datos% 3e trata de
la misma clase &ue se utili)a en las listas de riesgos de nivel de resumen $ detallado% Este en!o&ue
reduce el debate acerca del valor de un activo espec!ico por&ue el valor de clase de activos $a se (a
determinado% ecuerde &ue el proceso de administracin de riesgos de seguridad de ,icroso!t intenta
alcan)ar un e&uilibrio entre precisin $ e!icacia%
E)emplo de 7oodgrove: los datos !inancieros de consumidor se (an identi!icado como de
repercusin alta en la empresa durante los debates de recopilacin de datos5 por lo tanto# el valor de
activo es de 10 millones de dlares seg6n el valor de repercusin alta de!inido anteriormente%
%area 3: generar el valor de e,pectativa de p+rdida simple
" continuacin# determinar4 el alcance de los da1os en el activo% :tilice la misma clasi!icacin de
e2posicin identi!icada en los debates de recopilacin de datos para determinar el porcenta+e de da1os
en el activo% Este porcenta+e se denomina !actor de e2posicin% 3e utili)a la misma clasi!icacin en las
listas de riesgos de nivel de resumen $ detallado% En en!o&ue conservador consiste en aplicar una
escala mvil lineal para cada valor de clasi!icacin de e2posicin% El proceso de administracin de
riesgos de seguridad de ,icroso!t recomienda una escala mvil de 20N para cada valor de
clasi!icacin de e2posicin% Puede modi!icarla seg6n resulte adecuado para su organi)acin%
*a 6ltima tarea consiste en multiplicar el valor de activo por el !actor de e2posicin para generar la
estimacin cuantitativa de las repercusiones% En los modelos cuantitativos cl4sicos este valor se
denomina e2pectativa de p'rdida simple# por e+emplo# el valor de activo multiplicado por el !actor de
e2posicin%
En la siguiente !igura se proporciona como re!erencia un e+emplo de un en!o&ue cuantitativo simple%
/enga en cuenta &ue en el e+emplo siguiente simplemente se divide la clase de repercusin alta en la
empresa por la mitad para determinar los valores moderados $ ba+os% Es posible &ue tenga &ue
a+ustar estos valores a medida &ue ad&uiera e2periencia en el proceso de evaluacin de riesgos%
Figura 4.11 'o)a de tra"a)o de anlisis de riesgos: cuantificacin de la e,pectativa de p+rdida
simple 4-AR5'erramienta36
E)emplo de 7oodgrove: en la siguiente !igura se representan los valores para determinar la
e2pectativa de p'rdida simple de los dos riesgos de e+emplo%
Figura 4.13 E)emplo de e,pectativa de p+rdida simple de 7oodgrove 2an=A nota: el valor en
dlares se e,presa en millones 4-AR5'erramienta36
%area 4: determinar la frecuencia anual
Despu's de calcular la e2pectativa de p'rdida simple# se tiene &ue incorporar la probabilidad para
concluir la estimacin de riesgo monetario% :n en!o&ue com6n consiste en estimar la !recuencia con
&ue se puede producir el riesgo en el !uturo% Esta estimacin despu's se convierte en una estimacin
anual% Por e+emplo# si el grupo de seguridad de in!ormacin piensa &ue un riesgo se puede producir
dos veces al a1o# la !recuencia anual es dos% 3i un riesgo se puede producir una ve) cada tres a1os# la
!recuencia anual es un tercio# --N o 0#--% Como a$uda para estimar la probabilidad# utilice el an4lisis
cuantitativo anterior en el c4lculo de riesgo detallado% :tilice lo siguiente como orientacin para
identi!icar $ comunicar el valor cuantitativo con el !in de determinar la !recuencia anual%
Figura 4.14 #uantificacin de la frecuencia anual 4-AR5'erramienta36
:tilice la !igura anterior slo como orientacin% El grupo de seguridad de in!ormacin debe seleccionar
un valor para representar la !recuencia anual%
E)emplo de 7oodgrove: el e&uipo de administracin de riesgos de seguridad determina las
siguientes !recuencias anuales para los riesgos de e+emplo:
1% Grecuencia anual de (osts de *"?: seg6n la evaluacin cualitativa de probabilidad media# el
e&uipo de administracin de riesgos de seguridad estima &ue el riesgo se presentar4 al menos
una ve) cada dos a1os5 por lo tanto# la !recuencia anual estimada es 0#5%
2% Grecuencia anual de (osts remotos: de nuevo# seg6n la evaluacin cualitativa de probabilidad
alta# el e&uipo de administracin de riesgos de seguridad estima &ue el riesgo se presentar4 al
menos una ve) al a1o5 por lo tanto# la !recuencia anual estimada es 1%
%area 8: determinar la e,pectativa de p+rdida anual
Para concluir la ecuacin cuantitativa# multipli&ue la !recuencia anual por la e2pectativa de p'rdida
simple% El producto se representa como la e2pectativa de p'rdida anual%
E2pectativa de p'rdida anual P e2pectativa de p'rdida simple Q !recuencia anual
Con la e2pectativa de p'rdida anual se intenta representar el costo posible del riesgo en t'rminos
anuales% "un&ue puede servir de a$uda a los participantes con mentalidad !inanciera para estimar los
costos# el e&uipo de administracin de riesgos de seguridad tiene &ue volver a incidir en el (ec(o de
&ue las repercusiones en la organi)acin no se a+ustan e2actamente a los gastos anuales% 3i se
produce un riesgo# las repercusiones en la organi)acin se pueden producir por completo%
Despu's de determinar la estimacin cuantitativa del riesgo# consulte la (o+a de traba+o de riesgos
detallados# &ue contiene una columna adicional para documentar re!erencias o e2plicaciones &ue
desee incluir con la estimacin cuantitativa% :tilice esta columna para !acilitar la +usti!icacin de la
estimacin cuantitativa $ aportar pruebas seg6n resulte adecuado%
E)emplo de 7oodgrove: en la siguiente tabla se muestran los c4lculos b4sicos con el !in de
determinar la e2pectativa de p'rdida anual para cada riesgo de e+emplo% /enga en cuenta &ue cambiar
un valor puede modi!icar considerablemente el valor de e2pectativa de p'rdida anual% :tilice los datos
cualitativos para !acilitar la +usti!icacin $ la determinacin de la estimacin cuantitativa%
Figura 4.18 E)emplo de e,pectativa de p+rdida anual de 7oodgrove 2an=A nota: los valores en
dlares se e,presan en millones 4-AR5'erramienta36
Resumen
*a !ase de evaluacin de riesgos del ciclo de administracin de riesgos es necesaria para administrar
los riesgos en la organi)acin% "l llevar a cabo los pasos de planeamiento# recopilacin de datos
!acilitados $ asignacin de prioridades# recuerde &ue el propsito de la !ase de evaluacin de riesgos
no es slo identi!icar $ asignar prioridades a los riesgos# sino (acerlo de un modo e!ica) $ oportuno% El
proceso de administracin de riesgos de seguridad de ,icroso!t utili)a un en!o&ue (brido de an4lisis
cualitativo para identi!icar $ clasi!icar r4pidamente los riesgos5 a continuacin# emplea los atributos
!inancieros del an4lisis cuanti!icado para o!recer una de!inicin m4s precisa de los riesgos%
Facilitar el +,ito en la fase de apo&o a la toma de decisiones
Despu's de &ue el e&uipo de administracin de riesgos de seguridad asigne prioridades a los riesgos
para la organi)acin# debe comen)ar el proceso para identi!icar las estrategias de mitigacin de
riesgos adecuadas% Con el !in de !acilitar a los participantes la identi!icacin de las posibles soluciones
de mitigacin de riesgos# el e&uipo debe crear re&uisitos !uncionales &ue contribu$an a de!inir el
4mbito de la estrategia de mitigacin para el responsable de mitigacin adecuado% *a tarea de
de!inicin de re&uisitos !uncionales se describe en el proceso de apo$o a la toma de decisiones global
en el captulo 5# ."po$o a la toma de decisiones.%

Evaluacion Del Riesgo

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Evaluacion Del Riesgo

Cargado por

Copyright:

Formatos disponibles

http://www.microsoft.com/latam/technet/articulos/adminriesgos/srsgch04.mspx?

Activos organiativos: cual&uier elemento &ue represente un valor para la empresa%

Amenaas de seguridad: causas o sucesos &ue pueden a!ectar negativamente a un activo#

Entorno de controles actual: descripcin de los controles actuales $ su e!icacia en la

#ontroles propuestos: ideas iniciales para reducir el riesgo%

Plantilla de recopilacin de datos 7;"3<erramienta1=<erramienta de recopilacin de

(ista de valores de activos 73"PP>%doc9% *ista de algunos activos &ue normalmente se

Plantillas de asignacin de prioridades a los riesgos 7;"3<erramienta2=?ivel de riesgo de

Programa de e)emplo 7;"3<erramienta4=Programa de pro$ecto de e+emplo%2ls9% Este programa

*uevas motivaciones de negocios: actualice sus conocimientos acerca de las prioridades de la

Auditor.as: recopile los in!ormes de auditora pertinentes al 4mbito de la evaluacin de riesgos%

#redenciales de autenticacin: contrase1as# claves de ci!rado privadas $ testigos 7toHens9 de

Material de negocios mu& confidencial: datos !inancieros $ propiedad intelectual%

$nformacin de identificacin personal: in!ormacin &ue permita a un pirata in!orm4tico

Datos de autoriacin de transacciones financieras: n6meros de tar+eta de cr'dito $ !ec(as de

Perfiles financieros: in!ormes de cr'dito de clientes o e2tractos de ingresos personales%

Perfiles m+dicos: n6meros de registro m'dico o identi!icadores biom'tricos%

$nformacin de negocios interna: directorio de empleados# datos de pedidos# dise1os de

Estructura de alto nivel de la organi)acin%

8n!ormacin b4sica acerca de la plata!orma operativa de /8%

"cceso de lectura a p4ginas Jeb de acceso p6blico%

Claves de ci!rado privadas%

8n!ormacin de negocios o activos tangibles obsoletos%

BKu' activo se va a protegerC

BCu4l es el valor del activo para la organi)acinC

BKu' se intenta evitar &ue le suceda al activo 7amena)as conocidas $ posibles9C

BCmo se pueden producir la p'rdida o las e2posicionesC

BCu4l es el alcance de la e2posicin potencial para el activoC

E,posicin alta: p'rdida grave o completa del activo%

E,posicin moderada: p'rdida limitada o moderada%

E,posicin "a)a: p'rdida menor o no (a$ p'rdida%

Alta: mu$ probable# previsin de uno o varios ata&ues en un a1o%

Media: probable# previsin de ata&ue en dos a tres a1os%

2a)a: no probable# no se prev' ning6n ata&ue en tres a1os%

Presentaciones e informacin general acerca de la administracin de riesgos: 5 minutos

Funciones & responsa"ilidades: 5 minutos

De"ate acerca de los riesgos: 50 minutos

Determinar los activos organiativos & los escenarios

$dentificar las amenaas

$dentificar las vulnera"ilidades

Estimar la e,posicin de los activos

Estimar la pro"a"ilidad de las amenaas

De"ates de los controles propuestos

Resumen de la reunin & pasos siguientes

:n ata&ue de integridad por parte de un empleado de con!ian)a puede provocar da1os a la

ecuerde a los participantes &ue el e&uipo de administracin de riesgos de seguridad tiene la

%area 1: determinar el valor de las repercusiones a partir de las declaraciones de repercusiones

%area 1: estimar la probabilidad de las repercusiones para la lista de nivel de resumen%

%area 3: completar la lista de nivel de resumen mediante la combinacin de los valores de

Alta: mu$ probable# previsin de uno o varios ata&ues en un a1o%

Media: probable# previsin de ata&ue una ve) al menos en dos a tres

2a)a: no probable# no se prev' ning6n ata&ue en tres a1os%

Riesgos controvertidos: si un riesgo es nuevo# no se (a comprendido bien o los participantes

%area 1: determinar las repercusiones $ la e2posicin%

%area 1: identi!icar los controles actuales%

%area 3: determinar la probabilidad de repercusiones%

%area 4: determinar el nivel de riesgo detallado%

Po"lacin de piratas informticos: la probabilidad de ata&ue normalmente aumenta a medida

!isi"ilidad de vulnera"ilidad: la probabilidad normalmente aumenta si una vulnerabilidad es

Automatiacin de ata/ue: la probabilidad normalmente aumenta si un ata&ue se puede

%area 1: asignar un valor monetario a cada clase de activos de la organi)acin%

%area 1: introducir el valor de activo de cada riesgo%

%area 3: generar el valor de e2pectativa de p'rdida simple%

%area 4: determinar la !recuencia anual%