Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pgina 1
Normas y Tecnologa
Pgina 2
http://translate.googleusercontent.com/translate_f 1/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Recomendaciones de la
Instituto Nacional de Estndares y Tecnologa
COMPUTERSECURITY
07 2002
ADMINISTRACIN DE TECNOLOGA
Phillip J. Bond, Subsecretario de Tecnologa
SP 800-30 Pgina ii
Pgina 3
http://translate.googleusercontent.com/translate_f 2/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Ciertas entidades comerciales, equipos o materiales pueden ser identificadas en este documento con el fin de describir un
procedimiento experimental o concepto adecuadamente. Esta identificacin no pretenden dar a entender recomendacin u
aprobacin por parte del Instituto Nacional de Estndares y Tecnologa, ni pretende dar a entender que las entidades,
materiales o equipos son necesariamente los mejores disponibles para ese fin.
Pgina 4
Agradecimientos
Los autores, Gary Stoneburner, del NIST y Alice Goguen y Alexis Feringa de Booz
Allen Hamilton desean expresar su agradecimiento a sus colegas de las dos organizaciones que
borradores revisados
de este documento. En particular, Timothy Grance, Marianne Swanson, y Joan
Hash de NIST y Debra L. Banning, Jeffrey Confer, Randall K. Ewell, y Waseem
Mamlouk de Booz Allen proporcion informacin valiosa que contribuyeron sustancialmente a la
contenido tcnico de este documento. Por otra parte, agradecemos y apreciamos el
muchos comentarios de los sectores pblico y privado cuyas reflexiva y constructiva
comentarios mejoraron la calidad y la utilidad de esta publicacin.
http://translate.googleusercontent.com/translate_f 3/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
SP 800-30 Pgina iv
Pgina 5
TABLA DE CONTENIDO
1. INTRODUCTION..............................................................................................................................................1
1.1 LaUTORIDAD .................................................................................................................................................1
1.2 PROPSITO
......................................................................................................................................................1
1.3 OBJETIVO..................................................................................................................................................2
1.4 TARGETLaUDIENCE .....................................................................................................................................2
1.5 REXALTADAREFERENCIAS ................................................................................................................................3
1.6 T GUASSTRUCTURA
DEL USUARIO ......................................................................................................................................3
2. PANORAMA GENERAL DE GESTIN DEL RIESGO .............................................................................................................4
2.1 Yo
IMPORTANCIA RISKDEMGESTIN .........................................................................................................4
2.2 Yo
INTEGRACINRISK DEMGESTIN EN SDLC ................................................. .................................... 4
2.3 KEYROLES.................................................................................................................................................6
3. EVALUACIN DE RIESGOS ........................................................................................................................................8
3.1 STEP1: S ISTEMACHARACTERIZATION ......................................................................................................10
3.1.1 Relacionadas con el sistema Information................................................................................................................10
3.1.2 Tcnicas de recogida de informacin .....................................................................................................11
3.2 STEP2: T Hreat Yo
DENTIFICACIN .............................................................................................................12
3.2.1 Amenaza-fuente Identification................................................................................................................12
3.2.2 La motivacin y la amenaza acciones ............................................................................................................13
3.3 STEP3: V Ulnerabilidad Yo
DENTIFICACIN .................................................. .............................................. 15
3.3.1 Vulnerabilidad Sources...........................................................................................................................16
3.3.2 Pruebas de seguridad del sistema .......................................................................................................................17
3.3.3 Desarrollo de Requisitos de Seguridad Lista de control ............................................. ................................... 18
3.4 STEP4: C ONTROL LaNLISIS ....................................................................................................................19
3.4.1 Control Methods..................................................................................................................................20
3.4.2 Control de Categoras ..............................................................................................................................20
3.4.3 Anlisis de control Technique.................................................................................................................20
3.5 STEP5: L IKELIHOOD DETERMINACIN .....................................................................................................21
3.6 STEP6: MPACT LaNLISIS .......................................................................................................................21
3.7 STEP7: R ISKDETERMINACIN .................................................................................................................24
3.7.1 Riesgo Nivel Matrix.................................................................................................................................24
3.7.2 Descripcin de Riesgo Level.....................................................................................................................25
3.8 STEP8: C ONTROL RRECOMENDACIONES ...................................................................................................26
3.9 STEP9: R ESULTADOS
DOCUMENTACIN .........................................................................................................26
4. RIESGO MITIGATION.......................................................................................................................................27
4.1 RISKMITIGATION OPCIONES .......................................................................................................................27
4.2 RISKMITIGATION SESTRATEGIA ....................................................................................................................28
4.3 LaNFOQUE PARA
CONTROL Yo
EJECUCIN .................................................. .......................................... 29
4.4 CONTROL CATEGORIES .............................................................................................................................32
4.4.1 Seguridad Tcnica Controls.................................................................................................................32
4.4.2 Security Management Controls............................................................................................................35
4.4.3 Seguridad Operacional Controls.............................................................................................................36
4.5 COST-BENEFICIO
LaNLISIS.........................................................................................................................37
http://translate.googleusercontent.com/translate_f 4/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
4.6 RESIDUAL
RISK.........................................................................................................................................39
5. EVALUACIN Y ASSESSMENT............................................................................................................41
5.1 T OODSEGURIDAD PRactique.......................................................................................................................41
5.2 KEYS PARA
SL xito ...................................................................................................................................41
SP 800-30 Pgina iv
Pgina 6
Apndice C-Sample Plan de Salvaguarda Implementacin Cuadro Resumen ......................................... ......................... C-1
Apndice DAcronyms.......................................................................................................................................... D-1
Apndice EGlossary..............................................................................................................................................E-1
Apndice FReferences...........................................................................................................................................F-1
LISTA DE FIGURAS
LISTA DE TABLAS
SP 800-30 Pgina v
http://translate.googleusercontent.com/translate_f 5/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Pgina 7
1. INTRODUCCIN
Cada organizacin tiene una misin. En esta era digital, como las organizaciones utilizan la informacin automatizada
tecnologa (TI) 1 para procesar su informacin para un mejor apoyo de su misin, el riesgo
gestin juega un papel fundamental en la proteccin de los activos de informacin de una organizacin, y por lo tanto
su misin, de los riesgos relacionados con las TI.
Un proceso eficaz de gestin de riesgos es un componente importante de una seguridad de TI con xito
programa. El objetivo principal del proceso de gestin de riesgos de una organizacin debe ser la proteccin de
la organizacin y su capacidad para llevar a cabo su misin, no slo sus activos de TI. Por lo tanto, el riesgo
proceso de gestin no debe ser tratado principalmente como una funcin tcnica llevada a cabo por la TI
expertos que operan y administran el sistema informtico, sino como una funcin esencial de la administracin de la
organizacin.
1.1 AUTORIDAD
Este documento ha sido desarrollado por el NIST en cumplimiento de sus responsabilidades legales en virtud de
la Ley de Seguridad Informtica de 1987 y la Ley de Reforma de la Gestin de la Tecnologa de la Informacin
1996 (en concreto 15 del Cdigo de los Estados Unidos (USC) 278 g-3 (a) (5)). Esto no es una pauta dentro de
el significado de 15 USC 278 g-3 (a) (3).
Estas directrices son para uso de las organizaciones federales que procesan informacin sensible.
Son consistentes con los requisitos de la OMB Circular A-130, Apndice III.
Las presentes directrices no son obligatorias y las normas vinculantes. Este documento puede ser utilizado por
las organizaciones no gubernamentales sobre una base voluntaria. No est sujeto a derechos de autor.
Nada en este documento que pretenda contradecir las normas y directrices hizo
obligatorio y vinculante para las agencias federales por el Secretario de Comercio bajo su legal
autoridad. Tampoco deberan estas directrices pueden interpretar como la alteracin o reemplazando el existente
autoridades de la Secretara de Comercio, el Director de la Oficina de Gerencia y Presupuesto,
o cualquier otro funcionario federal
.
1.2 PROPSITO
El riesgo es el impacto negativo neto del ejercicio de una vulnerabilidad, teniendo en cuenta tanto la probabilidad
y el impacto de la ocurrencia. La gestin del riesgo es el proceso de identificacin de riesgos, evaluacin de riesgos,
y tomar medidas para reducir el riesgo a un nivel aceptable. Esta gua proporciona una base para la
desarrollo de un programa de gestin de riesgos efectiva, que contiene tanto las definiciones y la
orientacin prctica necesaria para evaluar y mitigar los riesgos identificados en los sistemas de TI. La
objetivo final es ayudar a las organizaciones a gestionar mejor los riesgos relacionados con las TI de misin.
1 El trmino "sistema informtico" se refiere a un sistema de apoyo general (por ejemplo, la computadora central, ordenador de gama media, locales
red de rea, columna vertebral agencywide) o una de las principales aplicaciones que se pueden ejecutar en un sistema de apoyo general y cuya
uso de los recursos de informacin satisface un conjunto especfico de necesidades de los usuarios.
SP 800-30 Pgina 1
Pgina 8
Adems, esta gua proporciona informacin sobre la seleccin de los controles de seguridad rentables. 2
Estos controles se pueden utilizar para mitigar los riesgos para la mejor proteccin de misin crtica
la informacin y los sistemas informticos que procesan, almacenan y transportan esta informacin.
Las organizaciones pueden optar por ampliar o abreviar los procesos y medidas integrales
se sugiere en esta gua y adaptarlos a su entorno en la gestin de misin relacionados con TI
riesgos.
1.3 OBJETIVO
http://translate.googleusercontent.com/translate_f 6/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
misin (s) (1) por mejor asegurar los sistemas que almacenan, procesan o transmiten organizacional
informacin; (2) haciendo posible la gestin para tomar decisiones de gestin de riesgos con conocimiento de causa a
justificar los gastos que forman parte de un presupuesto de TI; y (3) por ayudar a la administracin en
autorizar (o acreditacin de) los sistemas de TI 3 sobre la base de la documentacin de apoyo
derivados de la realizacin de la gestin de riesgos.
1.4 DESTINATARIOS
Esta gua proporciona una base comn para la experiencia y sin experiencia, tcnica y
personal no tcnico que apoyan o usan el proceso de gestin de riesgos para sus sistemas de TI.
Este personal incluye
La alta direccin, los propietarios de la misin, los que toman las decisiones acerca de la seguridad de TI
presupuesto.
Jefes de los Servicios de Informacin Federal, que garanticen la puesta en prctica de riesgo
la gestin de los sistemas de TI de la agencia y la seguridad proporcionados para estos sistemas de TI
La Autoridad Designada Aprobatoria (DAA), que es responsable de la final
decisin sobre si se debe permitir el funcionamiento de un sistema informtico
El administrador del programa de seguridad de TI, que implementa el programa de seguridad
Los oficiales de seguridad del sistema de informacin (ISSO), que son responsables de la seguridad de TI
Los propietarios de sistemas de TI de software y / o hardware del sistema utilizados para apoyar las funciones de TI.
Los dueos de la informacin de los datos almacenados, procesados
y transmitidos por los sistemas de TI
Los gerentes de negocios o funcionales, que son responsables del proceso de adquisicin de TI
El personal de apoyo tcnico (por ejemplo, redes, sistemas, aplicaciones y bases de datos
administradores; especialistas en informtica; Los analistas de seguridad de datos), que gestionan y
administrar la seguridad de los sistemas informticos
Sistema de TI y programadores de aplicaciones, que desarrollan y mantienen el cdigo que podra
sistema y la integridad de datos afectar
2 Los trminos "garantas" y "controles" se refieren a las medidas de reduccin de riesgos; estos trminos se utilizan indistintamente en
este documento de orientacin.
3 Oficina de Administracin y Presupuesto de noviembre de 2000 la Circular A-130 de la Ley de Seguridad Informtica de 1987, y el
Informacin del Gobierno de Ley de Reforma de Seguridad en octubre de 2000 exige que un sistema informtico ser autorizado antes de la
a partir de entonces volvi a autorizar la operacin y al menos cada 3 aos.
SP 800-30 Pgina 2
Pgina 9
El personal de garanta de calidad de TI, que ponen a prueba y garantizar la integridad de los sistemas informticos
y los datos
Los auditores de sistemas de informacin, quienes auditan sistemas de TI
Esta gua se basa en los conceptos generales presentados en el Instituto Nacional de Estndares y
Tecnologa (NIST) Publicacin Especial (SP) 800-27, Principios de Ingeniera de Seguridad Informtica,
junto con los principios y prcticas de NIST SP 800-14, Principios Generalmente Aceptados y
Prcticas recomendadas para proteger Sistemas Informticos. Adems, es coherente con la
polticas que se presentan en la Oficina de Administracin y Presupuesto (OMB) Circular A-130, Apndice III,
"La seguridad de Federal Automatizado de Informacin de Recursos"; la Ley de Seguridad Informtica (CSA) de
1987; y la Ley de Reforma de la Seguridad de Informacin del Gobierno de octubre de 2000.
La Seccin 2 proporciona una visin general de la gestin del riesgo, cmo se integra en el sistema
el desarrollo del ciclo de vida (SDLC), y las funciones de las personas que apoyan y utilizan esta
proceso.
http://translate.googleusercontent.com/translate_f 7/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
La realizar
seccinuna
3 describe la metodologa
evaluacin de riesgo dede
unevaluacin de riesgos y los nueve pasos principales en
sistema informtico.
La seccin 4 describe el proceso de mitigacin de riesgos, incluidas las opciones de mitigacin de riesgos y
estrategia, el enfoque de la aplicacin de control, las categoras de control, el costo-beneficio
anlisis, y el riesgo residual.
Seccin 5 analiza las buenas prcticas y la necesidad de una evaluacin de riesgos en curso y
evaluacin y los factores que conduzcan a un programa de gestin de riesgos exitosa.
Esta gua tambin contiene seis anexos. El Apndice A proporciona preguntas de la entrevista de la muestra.
Apndice B proporciona un esquema de ejemplo para su uso en la documentacin de los resultados de la evaluacin de riesgos. Apndice
C contiene una tabla de ejemplo para el plan de implementacin de salvaguardia. Apndice D proporciona una lista de
las siglas utilizadas en este documento. Apndice E contiene un glosario de trminos de uso frecuente en
esta gua. Apndice F incluye las referencias.
SP 800-30 Pgina 3
Pgina 10
En esta gua se describe la metodologa de gestin de riesgos, cmo se integra en cada fase de la SDLC,
y cmo el proceso de gestin de riesgos est ligado al proceso de autorizacin del sistema (o
acreditacin).
La gestin de riesgos se compone de tres procesos: evaluacin de riesgos, mitigacin del riesgo y evaluacin
y la evaluacin. Seccin 3 de este manual se describe el proceso de evaluacin de riesgos, que incluye
identificacin y evaluacin de los riesgos e impactos de riesgo, y la recomendacin de reducir el riesgo-
medidas. La seccin 4 describe la mitigacin de riesgos, que se refiere a la priorizacin, ejecucin y
mantenimiento de las medidas de reduccin del riesgo adecuadas recomendadas por la evaluacin de riesgos
proceso. Seccin 5 discute el proceso de evaluacin continua y las claves para la implementacin de un
programa de gestin de riesgos exitosa. La DAA o autorizar sistema oficial es responsable de
determinar si el riesgo restante es a un nivel aceptable o si la seguridad adicional
controles deben implementarse para reducir an ms o eliminar el riesgo residual antes
autorizar (o acreditacin de) el sistema informtico para la operacin.
La gestin del riesgo es el proceso que permite a los administradores de TI para equilibrar el funcionamiento y
los costos econmicos de las medidas de proteccin y lograr ganancias en la capacidad de la misin de proteger la
Sistemas de informacin y de datos que apoyan las misiones de sus organizaciones. Este proceso no es nica para la
Entorno de TI; de hecho, impregna la toma de decisiones en todos los mbitos de nuestra vida cotidiana. Tomemos el caso
de seguridad para el hogar, por ejemplo. Muchas personas deciden tener sistemas de seguridad instalados y
pagar una cuota mensual a un proveedor de servicios para que estos sistemas monitorizados para la mejor proteccin
de su propiedad. Es de suponer que los propietarios han sopesado el costo de la instalacin del sistema y
monitoreo contra el valor de sus artculos para el hogar y la seguridad de su familia, un derecho fundamental
Necesidad "misin".
El jefe de una unidad de organizacin debe asegurarse de que la organizacin tiene la capacidad necesaria
para cumplir su misin. Estos dueos de misin deben determinar las capacidades de seguridad que
sus sistemas de TI deben tener para proporcionar el nivel deseado de apoyo a la misin ante la vida real
amenazas mundiales. La mayora de las organizaciones cuentan con presupuestos limitados para la seguridad de la informacin; Por lo tanto, la seguridad de TI
el gasto debe ser revisado tan a fondo como otras decisiones de gestin. Un riesgo bien estructurado
metodologa de gestin, cuando se utiliza con eficacia, puede ayudar a identificar la gestin adecuada
controla para proporcionar las funciones de seguridad esenciales para la misin.
http://translate.googleusercontent.com/translate_f 8/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
2.2 INTEGRACIN DE LA GESTIN DE RIESGOS EN SDLC
Minimizar el impacto negativo en la organizacin y la necesidad de base slida en la toma de decisiones son
las organizaciones razones fundamentales implementar un proceso de gestin de riesgo para proyectos de TI
sistemas. La gestin eficaz del riesgo debe estar totalmente integrado en el SDLC. De un sistema de TI
SDLC tiene cinco fases: inicio, desarrollo o adquisicin, implementacin, operacin o
mantenimiento y eliminacin. En algunos casos, un sistema de TI puede ocupar varias de estas fases en
al mismo tiempo. Sin embargo, la metodologa de gestin del riesgo es el mismo independientemente de la SDLC
fase para la que se est llevando a cabo la evaluacin. La gestin de riesgos es un proceso iterativo que
se puede realizar durante cada fase importante del SDLC. La Tabla 2-1 describe las caractersticas
SP 800-30 Pgina 4
Pgina 11
de cada fase SDLC e indica cmo la gestin del riesgo se puede realizar en apoyo de cada
fase.
http://translate.googleusercontent.com/translate_f 9/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
SP 800-30 Pgina 5
Pgina 12
La gestin de riesgos es una responsabilidad de gestin. En esta seccin se describen las funciones principales de la
personal que deben apoyar y participar en el proceso de gestin de riesgos.
SP 800-30 Pgina 6
Pgina 13
http://translate.googleusercontent.com/translate_f 10/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
que puedan desarrollar materiales de formacin adecuados e incorporar la evaluacin de riesgos
en los programas de formacin para educar a los usuarios finales.
SP 800-30 Pgina 7
Pgina 14
3. EVALUACIN DE RIESGOS
La evaluacin de riesgos es el primer proceso en la metodologa de gestin de riesgos. Las organizaciones utilizan el riesgo
evaluacin para determinar el grado de la amenaza potencial y el riesgo asociado con un TI
sistema largo de su SDLC. El resultado de este proceso ayuda a identificar los controles apropiados para
reducir o eliminar los riesgos durante el proceso de mitigacin de riesgos, como se discuti en la Seccin 4.
El riesgo es una funcin de la probabilidad de una determinada amenaza de cdigo de ejercer un particular potencial
la vulnerabilidad y el impacto resultante de ese acontecimiento adverso en la organizacin.
Para determinar la probabilidad de un evento adverso futuro, las amenazas a un sistema de TI deben ser analizados
junto con las posibles vulnerabilidades y los controles establecidos para el sistema de TI.
El impacto se refiere a la magnitud del dao que podra ser causado por el ejercicio de una amenaza de un
vulnerabilidad. El nivel de impacto se rige por los posibles impactos de la misin ya su vez
produce un valor relativo de los activos de TI y los recursos afectados (por ejemplo, la criticidad y
sensibilidad de los componentes del sistema de TI y datos). La metodologa de evaluacin de riesgos
abarca nueve pasos principales, que se describen en las secciones 3.1 a 3.9
http://translate.googleusercontent.com/translate_f 11/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
SP 800-30 Pgina 8
Pgina 15
http://translate.googleusercontent.com/translate_f 12/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Probabilidad de amenaza
explotacin Riesgos y
Magnitud del impacto Paso 7. Determinacin del Riesgo Riesgo asociado
Adecuacin de la prevista o Niveles
controles actuales
Paso 8. Recomendado
Recomendaciones para el control Controles
SP 800-30 Pgina 9
Pgina 16
En la evaluacin de los riesgos para un sistema informtico, el primer paso es definir el alcance del esfuerzo. En este paso,
de los lmites del sistema de TI son identificados, junto con los recursos y la informacin que
constituyen el sistema. Caracterizacin de un sistema de TI establece el alcance de la evaluacin de riesgos
esfuerzo, delinea los lmites de la autorizacin operacional (o acreditacin), y proporciona
informacin (por ejemplo, hardware, software, conectividad del sistema, y la divisin responsable o el apoyo
personal) esenciales para la definicin del riesgo.
Seccin 3.1.1 se describe la informacin relacionada con el sistema utilizado para caracterizar un sistema de TI y su
entorno operativo. Seccin 3.1.2 sugiere las tcnicas de recopilacin de informacin que puede
ser utilizado para solicitar informacin relativa al medio ambiente de procesamiento del sistema de TI.
La metodologa descrita en este documento se puede aplicar a las evaluaciones de simple o mltiple,
sistemas interrelacionados. En este ltimo caso, es importante que el dominio de inters y todas las interfaces
y dependencias de estar bien definidos antes de la aplicacin de la metodologa.
La identificacin de los riesgos de un sistema de TI requiere un profundo conocimiento de procesamiento del sistema
medio ambiente. La persona o personas que llevan a cabo la evaluacin de riesgos deben, por tanto, en primer lugar recopilar
informacin relacionada con el sistema, que por lo general se clasifica de la siguiente manera:
Hardware
Software
Las interfaces del sistema (por ejemplo, la conectividad interna y externa)
Los datos y la informacin
Las personas que apoyan y utilizan el sistema de TI
La misin del sistema (por ejemplo, los procesos realizados por el sistema de TI)
Sistema y criticidad de datos (por ejemplo, el valor del sistema o de la importancia de una organizacin)
Sistema y sensibilidad de los datos. 4
Informacin adicional relacionada con el medio ambiente operativo del sistema informtico y sus datos
incluye, pero no se limita a, los siguientes:
http://translate.googleusercontent.com/translate_f 13/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
4 El nivel de proteccin necesario para mantener el sistema y la integridad de los datos, confidencialidad y disponibilidad.
SP 800-30 Pgina 10
Pgina 17
Para un sistema que est en el inicio o la fase de diseo, la informacin del sistema se puede derivar de la
diseo o los requisitos de documentos. Para un sistema de TI en fase de desarrollo, es necesario definir
normas de seguridad clave y atributos previstas para el futuro sistema de TI. Documentos de diseo de sistemas y
el plan de seguridad del sistema puede proporcionar informacin til sobre la seguridad de un sistema informtico que es
en desarrollo.
Cualquier, o una combinacin, de las siguientes tcnicas pueden ser utilizadas en la recopilacin de informacin relevante
al sistema de TI dentro de sus lmites operativos:
Cuestionario. Para recopilar la informacin pertinente, el personal de evaluacin del riesgo puede
desarrollar un cuestionario relativo a la gestin y los controles operativos previstos
o utilizados con el sistema informtico. Este cuestionario debe ser distribuido a la aplicable
personal tcnico y no tcnico de gestin que estn diseando o de apoyo
el sistema de TI. El cuestionario tambin se podra utilizar durante las visitas sobre el terreno y
entrevistas.
Entrevistas en sitio. Entrevistas con el apoyo del sistema de TI y gestin de personal
puede permitir que el personal de evaluacin de riesgos para recopilar informacin til acerca de la TI
sistema (por ejemplo, cmo funciona el sistema y logr). Las visitas in situ permiten tambin el riesgo
SP 800-30 Pgina 11
Pgina 18
personal de evaluacin para observar y recopilar informacin sobre las caractersticas fsicas,
seguridad ambiental y operativo del sistema informtico. El apndice A contiene
preguntas de la entrevista de la muestra que se hacen durante las entrevistas con el personal del sitio para lograr un
mejor comprensin de las caractersticas operativas de una organizacin. Para
http://translate.googleusercontent.com/translate_f 14/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
sistemas todava en la fase de diseo, visita in situ seran recopilacin de datos cara a cara
ejercicios y podra proporcionar la oportunidad de evaluar el entorno fsico en el
que el sistema va a operar.
Revisin de documentos. Documentos de poltica (por ejemplo, documentacin legislativa, directivas),
documentacin del sistema (por ejemplo, la gua de usuario del sistema, manual de administracin del sistema,
diseo del sistema y documento de requerimientos, documento de adquisicin), y la seguridad relacionada
documentacin (por ejemplo, anterior informe de auditora, el informe de evaluacin de riesgos, resultados de las pruebas del sistema,
5, Las polticas de seguridad) pueden proporcionar una buena informacin sobre la
plan de seguridad del sistema
controles de seguridad utilizados por y planificadas para el sistema de TI. La misin de una organizacin
anlisis de impacto o criticidad de los activos de evaluacin proporciona informacin sobre el sistema
y la criticidad de datos y la sensibilidad.
El uso de la herramienta automatizada de escaneo. mtodos tcnicos proactivos pueden ser usados para
recoger informacin del sistema de manera eficiente. Por ejemplo, una herramienta de mapeo de red puede
identificar los servicios que se ejecutan en un gran grupo de hosts y proporcionar una forma rpida de
la creacin de perfiles individuales del sistema de TI de destino (s).
La recoleccin de informacin se puede realizar durante todo el proceso de evaluacin de riesgos, de la Etapa 1
(Sistema de Caracterizacin) hasta el Paso 9 (Resultados Documentacin).
Una amenaza es la posibilidad de una amenaza de cdigo especial para ejercer con xito una determinada
vulnerabilidad. Una vulnerabilidad es una debilidad que puede
se dispare accidentalmente o intencionalmente explotados. La
amenaza de cdigo no presenta un riesgo cuando no hay Amenaza: El potencial de una amenaza-
vulnerabilidad que puede ser ejercida. En la determinacin de la fuente de ejercicio (accidentalmente el gatillo
probabilidad de que una amenaza (Seccin 3.5), se debe considerar o intencionalmente explotar) una especfica
amenaza los recursos, vulnerabilidades potenciales (Seccin 3.3), vulnerabilidad.
y los controles existentes (Seccin 3.4).
5 Durante la fase inicial, una evaluacin de riesgos podra ser utilizado para desarrollar el plan inicial de la seguridad del sistema.
SP 800-30 Pgina 12
Pgina 19
http://translate.googleusercontent.com/translate_f 15/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
incluir "natural de las inundaciones", porque
de la baja probabilidad de que ocurran una, las amenazas ambientales tales de eventos tales como una tubera reventar
puede inundar rpidamente una sala de ordenadores y causar daos a los activos de TI de una organizacin y
recursos. Los seres humanos pueden ser de amenaza los recursos a travs de actos intencionales, como los ataques deliberados de
personas malintencionadas o empleados descontentos o actos involuntarios, tales como la negligencia y los errores.
Un ataque deliberado puede ser (1) un intento malicioso para obtener acceso no autorizado a una red IT
sistema (por ejemplo, por medio de adivinacin de contraseas) para el sistema y la integridad de los datos en peligro,
disponibilidad o confidencialidad o (2) una benigna, pero no obstante decidido, intento de eludir
la seguridad del sistema. Un ejemplo de este ltimo tipo de ataque deliberado es de un programador escribir un
Programa de caballo de Troya para eludir la seguridad del sistema con el fin de "hacer el trabajo".
La motivacin y los recursos para llevar a cabo un ataque hacen los humanos potencialmente peligrosos
amenaza los recursos. La Tabla 3-1 presenta un resumen de muchas de las amenazas humanas comunes de hoy en da, su
posibles motivaciones y los mtodos o acciones de amenaza por los que podran llevar a cabo un ataque.
Esta informacin ser til para las organizaciones que estudian sus entornos de amenazas humanas y
la personalizacin de sus declaraciones de amenazas humanas. Adems, la revisin de la historia del sistema de romper-
ins; informes de violacin de la seguridad; informes de incidentes; y entrevistas con los administradores del sistema,
personal de asistencia tcnica, y la comunidad de usuarios durante la recopilacin de informacin ayudar a identificar humana
amenaza los recursos que tienen el potencial para daar un sistema informtico y sus datos y que pueden ser una preocupacin
donde existe una vulnerabilidad.
SP 800-30 Pgina 13
Pgina 20
http://translate.googleusercontent.com/translate_f 16/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Curiosidad informacin
Abuso de computadora
Ego
Fraude y robo
Inteligencia Informacin de soborno
Insiders (mal entrenados,
descontentos, malicioso, La ganancia monetaria Entrada de falsificada, datos corruptos
negligente, fraudulento, o Interceptacin
Venganza
empleados despedidos) El cdigo malicioso (por ejemplo, virus, lgica
Errores involuntarios y bomba, caballo de Troya)
omisiones (por ejemplo, la entrada de datos
Venta de informacin personal
error, error de programacin)
Errores del sistema
Intrusin Sistema
Sabotaje Sistema
El acceso no autorizado al sistema
Una estimacin de la motivacin, los recursos y capacidades que se requieran para llevar a cabo una
ataque exitoso debe desarrollarse despus de que se han identificado las posibles amenazas recursos, en
Para determinar la probabilidad de que una amenaza de ejercer una vulnerabilidad del sistema, como se describe en
Seccin 3.5.
SP 800-30 Pgina 14
Pgina 21
De salida de la Etapa 2 Una declaracin de amenaza que contiene una lista de las amenazas recursos que podran explotar
vulnerabilidades del sistema
http://translate.googleusercontent.com/translate_f 17/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
El diseo
el vendedor haseguridad
de la identificado
delfallas en
sistema; Los usuarios
hackers, no autorizados (por ejemplo,
descontentos La obtencin
acceso no autorizada
al sistema sensible
Sin embargo, los nuevos parches no tienen empleados, equipo archivos en funcin conocida
ha aplicado al sistema de criminales, los terroristas) vulnerabilidades del sistema
SP 800-30 Pgina 15
Pgina 22
Centro de datos utiliza rociadores de agua Fuego, personas negligentes Rociadores de agua son
para suprimir el fuego; lonas a encendida en el centro de datos
proteger el hardware y equipo
de daos por agua no estn en
lugar
Mtodos recomendados para la identificacin de las vulnerabilidades del sistema son el uso de la vulnerabilidad
fuentes, el rendimiento de las pruebas de seguridad del sistema y el desarrollo de una seguridad
requisitos de lista de verificacin.
Cabe sealar que esa existirn los tipos de vulnerabilidades, y la metodologa necesaria para
determinar si las vulnerabilidades estn presentes, por lo general variar dependiendo de la naturaleza de
el sistema informtico y la fase que se encuentra, en el SDLC:
SP 800-30 Pgina 16
Pgina 23
http://translate.googleusercontent.com/translate_f 18/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Recomendaciones de seguridad, tales como FedCIRC y el Departamento de Informtica de la Energa
Boletines de capacidad de asesoramiento de Incidentes
avisos de proveedores
Los equipos de respuesta a incidentes informticos Comercial / emergencia y listas de correos (por ejemplo,
Mailings foro SecurityFocus.com)
Las alertas y boletines para los sistemas militares Informacin sobre la vulnerabilidad de Aseguramiento
la seguridad del software de sistema analiza.
Mtodos proactivos, empleando las pruebas del sistema, se puede utilizar para identificar las vulnerabilidades del sistema
de manera eficiente, dependiendo de la criticidad del sistema y los recursos de TI disponibles (por ejemplo, asignado
fondos, la tecnologa disponible, las personas con la experiencia necesaria para realizar la prueba). Mtodos de ensayo
incluir
La herramienta automatizada de anlisis de vulnerabilidades se utiliza para explorar un grupo de hosts o de una red de
servicios vulnerables conocidos (por ejemplo, el sistema permite que el Protocolo de transferencia de archivos annimo [FTP],
sendmail retransmisin). Sin embargo, debe tenerse en cuenta que algunas de las potenciales vulnerabilidades
identificado por la herramienta automatizada de exploracin pueden no representar las vulnerabilidades reales en el contexto de
el entorno del sistema. Por ejemplo, algunas de estas herramientas de escaneo de vulnerabilidades potenciales califica
sin tener en cuenta el medio ambiente y las necesidades del sitio. Algunas de las "vulnerabilidades"
marcado por el software automatizado de exploracin en realidad no puede ser vulnerable a un sitio en particular
pero puede ser configurado de esa manera porque su entorno lo requiere. Por lo tanto, este mtodo de ensayo
puede producir falsos positivos.
ST & E es otra tcnica que se puede utilizar en la identificacin de las vulnerabilidades del sistema de TI durante el
proceso de evaluacin de riesgos. Incluye el desarrollo y ejecucin de un plan de pruebas (por ejemplo, la prueba de
scripts, procedimientos de prueba y los resultados de las pruebas que se espera). El propsito de las pruebas de la seguridad del sistema es
comprobar la eficacia de los controles de seguridad de un sistema informtico, ya que se han aplicado en un
entorno operativo. El objetivo es asegurar que los controles aplicados cumplen con el aprobado
especificacin de seguridad para el software y el hardware e implementar la seguridad de la organizacin
normas de poltica o de la industria se encuentran.
Las pruebas de penetracin se puede utilizar para complementar la revisin de los controles de seguridad y asegurarse de que
diferentes facetas del sistema de TI estn asegurados. Las pruebas de penetracin, cuando se emplean en el riesgo
proceso de evaluacin, se puede utilizar para evaluar la capacidad de un sistema de TI para resistir los intentos intencionales
para burlar la seguridad del sistema. Su objetivo es poner a prueba el sistema de TI desde el punto de vista de un
amenaza de cdigo e identificar posibles fallos en los sistemas de proteccin de sistema de TI.
6 El proyecto de SP NIST 800-42, Pruebas de seguridad de la red general , se describe la metodologa para el sistema de red
prueba y el uso de herramientas automatizadas.
SP 800-30 Pgina 17
Pgina 24
Los resultados de este tipo de pruebas de seguridad opcional ayudarn a identificar las vulnerabilidades de un sistema.
Durante este paso, el personal de evaluacin de riesgos a determinar si los requisitos de seguridad
estipulado para el sistema de TI y recogidos durante la caracterizacin del sistema se estn cumpliendo por
existente o controles de seguridad previstos. Por lo general, los requisitos de seguridad del sistema pueden ser
se presenta en forma de tabla, con cada requisito acompaada de una explicacin de cmo la
diseo o implementacin del sistema tiene o no cumplen ese requisito de control de seguridad.
Una lista de verificacin de los requisitos de seguridad contiene las normas bsicas de seguridad que se pueden utilizar para
evaluar sistemticamente e identificar las vulnerabilidades de los activos (personal, hardware,
software, informacin), los procedimientos no automatizados, procesos e informacin transferencias
http://translate.googleusercontent.com/translate_f 19/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
asociado a un sistema de TI que figura en las siguientes zonas de seguridad:
Gestin
Operacional
Tcnico.
La Tabla 3-3 enumera los criterios de seguridad sugeridas para su uso en la identificacin de las vulnerabilidades de un sistema informtico en
cada rea de la seguridad.
Asignacin de responsabilidades
Security Management La continuidad de la ayuda
Capacidad de respuesta a incidentes
Revisin peridica de controles de seguridad
Investigaciones de liquidacin de personal y de fondo
La evaluacin de riesgos
La formacin en seguridad y tcnica
Separacin de funciones
Sistema de autorizacin y reautorizacin
Plan de seguridad del sistema o de la aplicacin
El control de los contaminantes transportados por el aire (humo, polvo, productos qumicos)
Seguridad Operacional Controles para garantizar la calidad del suministro de energa elctrica
El acceso y la eliminacin de medios de Datos
Distribucin de datos externa y el etiquetado
Proteccin de la instalacin (por ejemplo, sala de informtica, centro de datos, oficina)
Control de humedad
Control de la temperatura
Las estaciones de trabajo, porttiles y ordenadores personales independientes
SP 800-30 Pgina 18
Pgina 25
El resultado de este proceso es la lista de comprobacin de requisitos de seguridad. Las fuentes que se pueden utilizar en
compilar una lista de control de este tipo incluyen, pero no se limitan a, el siguiente gobierno regulador
y las directivas de seguridad y fuentes aplicables al entorno de procesamiento del sistema de TI:
CSA de 1987
Normas de Procesamiento de Informacin Federal de Publicaciones
OMB 11 2000 Circular A-130
Ley de Privacidad de 1974
El plan de seguridad del sistema del sistema de TI evaluado
Las polticas de la organizacin de seguridad, directrices y normas
Las prcticas de la industria.
http://translate.googleusercontent.com/translate_f 20/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
ofrece un extenso cuestionario que contiene los objetivos de control especficos contra el que un
sistema o grupo de sistemas interconectados pueden ser probados y medidos. Los objetivos de control
se abstrae directamente de los requisitos de larga data que se encuentran en la ley, la poltica, y orientacin sobre
la seguridad y la privacidad.
Los resultados de la lista de verificacin (o cuestionario) se puede utilizar como entrada para una evaluacin de
el cumplimiento y el incumplimiento. Este proceso identifica sistema, proceso, y de procedimiento
debilidades que representan vulnerabilidades potenciales.
El objetivo de este paso es analizar los controles que se han implementado o estn previstas para
aplicacin, por la organizacin para minimizar o eliminar la probabilidad (o la probabilidad) de un
La amenaza de ejercer una vulnerabilidad del sistema.
7 Debido a que el informe de evaluacin de riesgos no es un informe de auditora, algunos sitios pueden preferir hacer frente a la identificada
vulnerabilidades como las observaciones en lugar de los hallazgos en el informe de evaluacin de riesgos.
SP 800-30 Pgina 19
Pgina 26
Para obtener una calificacin general probabilidad de que indica la probabilidad de que una vulnerabilidad potencial
puede ser ejercida dentro de la construccin del medio ambiente amenaza asociada (paso 5 ms abajo), la
implementacin de los controles actuales o previstas deben ser considerados. Por ejemplo, una vulnerabilidad
(Por ejemplo, el sistema o la debilidad de procedimiento) no es probable que se ejerza o la probabilidad es baja si hay
es un bajo nivel de inters amenaza de cdigo o la capacidad o si hay controles de seguridad eficaces que
puede eliminar, o reducir la magnitud de causar un dao.
Secciones 3.4.1 a travs de 3.4.3, respectivamente, discutir mtodos de control, las categoras de control, y el
controlar tcnica de anlisis.
Los controles de seguridad abarcan el uso de mtodos tcnicos y no tcnicos. Los controles tcnicos
salvaguardias que se incorporan en el hardware, software, o de firmware (por ejemplo, acceso
mecanismos de control, los mecanismos de identificacin y autenticacin, mtodos de encriptacin,
software de deteccin de intrusin). Controles no tcnicos son la gestin y los controles operacionales,
tales como las polticas de seguridad; procedimientos operacionales; y personal, fsica y medioambiental
seguridad.
Las categoras de control de los mtodos de control tanto tcnicos como no tcnicos pueden estar ms
clasificado como preventivo o detective. Estos dos subcategoras se explican de la siguiente manera:
Los controles preventivos inhiben los intentos de violar la poltica de seguridad e incluyen tales
controla como la aplicacin de control de acceso, cifrado y autenticacin.
Los controles Detectives advierten de violacines o intentos de violacines de la poltica de seguridad y
incluir controles tales como pistas de auditora, los mtodos de deteccin de intrusos, y sumas de comprobacin.
Seccin 4.4 explica, adems, estos controles desde el punto de vista de la implementacin. La
aplicacin de los controles durante el proceso de mitigacin de riesgo es el resultado directo de la
identificacin de las deficiencias en los controles actuales o previstas durante el proceso de evaluacin de riesgos
(Por ejemplo, los controles no estn en su lugar o los controles no se aplican correctamente).
Como se discuti en la Seccin 3.3.3, el desarrollo de una lista de verificacin los requisitos de seguridad o el uso de un
lista de comprobacin disponible ser til en el anlisis de los controles de una manera eficiente y sistemtico.
La lista de verificacin de los requisitos de seguridad se puede utilizar para validar el incumplimiento de seguridad, as como
cumplimiento. Por lo tanto, es esencial para actualizar esas listas de control para reflejar los cambios en un
http://translate.googleusercontent.com/translate_f 21/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
ambiente depara
requisitos) control de lalaorganizacin
asegurar validez de la(por
listaejemplo, los cambios en las polticas de seguridad, mtodos y
de verificacin.
La salida de la Etapa 4 Lista de los controles actuales o previstas utilizados para el sistema de TI para mitigar el
probabilidad de ser ejercida de una vulnerabilidad y reducir el impacto de un evento adverso
SP 800-30 Pgina 20
Pgina 27
Para obtener una calificacin general probabilidad de que indica la probabilidad de que una vulnerabilidad potencial
puede ser ejercida dentro de la construccin del medio ambiente amenaza asociada, la siguiente
factores que gobiernan deben ser considerados:
La probabilidad de que una vulnerabilidad potencial podra ser ejercida por una amenaza determinada fuente puede ser
descrito como alto, medio o bajo. Tabla 3-4 siguiente se describen estos tres niveles de probabilidad.
Alto La amenaza de cdigo est muy motivado y suficientemente capaz, y controles para
prevenir la vulnerabilidad de la que se ejerce son ineficaces.
Medio La amenaza de cdigo est motivado y capaz, pero los controles son en el lugar que puede
obstaculizar el ejercicio con xito de la vulnerabilidad.
Bajo La amenaza de cdigo carece de motivacin o capacidad, o los controles se han establecido para
prevenir o impedir al menos de manera significativa, la vulnerabilidad de ser ejercido.
El siguiente paso importante en el nivel de riesgo de medicin es determinar los efectos adversos resultantes de
un ejercicio de amenaza exitosa de una vulnerabilidad. Antes de iniciar el anlisis de impacto, es
necesario para obtener la siguiente informacin necesaria como se discuti en la Seccin 3.1.1:
La misin del sistema (por ejemplo, los procesos realizados por el sistema de TI)
Sistema y criticidad de datos (por ejemplo, el valor del sistema o de la importancia de una organizacin)
Sistema y sensibilidad de los datos.
SP 800-30 Pgina 21
http://translate.googleusercontent.com/translate_f 22/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Pgina 28
Si esta documentacin no existe o tipo de evaluaciones para los activos de TI de la organizacin no tiene
sido realizado, el sistema y los datos de sensibilidad puede ser determinada basndose en el nivel de
la proteccin necesaria para mantener el sistema y la disponibilidad de los datos, la integridad y la confidencialidad.
Independientemente del mtodo utilizado para determinar el grado de sensibilidad de un sistema informtico y sus datos son, la
propietarios de los sistemas y de la informacin son los responsables de determinar el nivel de impacto de
su propio sistema y la informacin. Por consiguiente, en el anlisis de impacto, el enfoque apropiado
es entrevistar al sistema y el propietario (s) de la informacin.
Por lo tanto, el impacto negativo de un evento de seguridad se puede describir en trminos de prdida o degradacin
de algunos, o una combinacin de cualquiera de los siguientes tres objetivos de seguridad: integridad, disponibilidad y
confidencialidad. La siguiente lista proporciona una breve descripcin de cada objetivo de seguridad y la
consecuencia (o impacto) de su no se cumplan:
Algunos impactos tangibles se pueden medir cuantitativamente en prdidas de ingresos, el costo de la reparacin de la
sistema, o el nivel de esfuerzo necesario para corregir los problemas causados por una accin de amenaza exitosa.
Otros impactos (por ejemplo, la prdida de la confianza pblica, la prdida de credibilidad, el dao a una organizacin de
intereses) no se puede medir en unidades especficas, sino que puede ser calificado o descrito en trminos de altura,
medio y bajo impacto. Debido a la naturaleza genrica de esta discusin, esta gua designa
y describe slo el impacto cualitativo categoras: alta, media y baja (ver Cuadro 3.5).
SP 800-30 Pgina 22
Pgina 29
SP 800-30 Pgina 23
Pgina 30
El propsito de este paso es evaluar el nivel de riesgo para el sistema de TI. La determinacin del riesgo
para un par amenaza / vulnerabilidad particular, se puede expresar como una funcin de
Para medir el riesgo, una escala de riesgo y una matriz de nivel de riesgo se deben desarrollar. Seccin 3.7.1 se presenta un
matriz estndar de nivel de riesgo; Seccin 3.7.2 se describen los niveles de riesgo resultantes.
La determinacin final del riesgo de la misin se obtiene multiplicando la calificacin otorgada por la amenaza
probabilidad (por ejemplo, probabilidad) y el impacto de amenazas. Tabla 3.6 muestra cmo el riesgo global
Las calificaciones pueden ser determinados con base en las aportaciones de los efectos probabilidad amenaza y la amenaza
categoras. La siguiente matriz es una matriz de 3 x 3 de la probabilidad de amenaza (Alta, Media y Baja)
y el impacto de amenazas (Alta, Media y Baja). Dependiendo de los requisitos del sitio y la
http://translate.googleusercontent.com/translate_f 24/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
granularidad
puede incluir de
un la evaluacin
/ Muy de riesgo deseado,
Alta probabilidad algunos muy
de peligrosidad sitiosbaja
puede utilizar
y un impactounade
4 xpeligrosidad
4 o una matriz
muydebaja
5 x/5.muy
Este ltimo
alta a
generar un nivel Muy Bajo / Muy alto riesgo. Un "Muy Alto" nivel de riesgo puede requerir posible
apagado del sistema o interrupcin de todos los esfuerzos de integracin y pruebas de sistemas de TI.
La matriz de la muestra en la Tabla 3-6 muestra cmo los niveles generales de riesgo de Alta, Media y Baja son
derivada. La determinacin de estos niveles de riesgo o calificaciones puede ser subjetiva. La justificacin de
esta justificacin se puede explicar en trminos de la probabilidad asignada para cada probabilidad amenaza
nivel y un valor asignado para cada nivel de impacto. Por ejemplo,
La probabilidad asignada para cada nivel de probabilidad de amenaza es 1.0 para alto, 0,5 para
Mediana, 0.1 para Baja
El valor asignado para cada nivel de impacto es 100 para alta, 50 de media, y 10 para
Low.
SP 800-30 Pgina 24
Pgina 31
La Tabla 3-7 describe los niveles de riesgo que aparecen en la matriz anterior. Esta escala de riesgo, con las calificaciones de
Alta, Media y Baja, representa el grado o nivel de riesgo al que un sistema informtico, instalacin o
procedimiento podra estar expuesto si una vulnerabilidad dada fuera ejercida. La escala de riesgo tambin presenta
acciones que la alta direccin, los propietarios de la misin, deben tomar para cada nivel de riesgo.
Si una observacin est clasificado como de riesgo medio, las acciones correctivas son
Medio
necesaria y un plan debe ser desarrollado para incorporar estas acciones
dentro de un perodo razonable de tiempo.
Si una observacin es descrito como de bajo riesgo, DAA del sistema debe
Bajo
determinar si an se requieren acciones correctivas o deciden
aceptar el riesgo.
http://translate.googleusercontent.com/translate_f 25/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
8 Si el nivel indicado en ciertos artculos es tan bajo como para ser considerados como "insignificante" o no significativa (el valor es <1
en la escala de riesgo de 1 a 100), se puede desear para mantener estos a un lado en un cubo separado en lugar de reenvo para
acciones de gestin. Esto se asegurar de que no se pasan por alto cuando se realiza la prxima riesgo peridica
evaluacin. Tambin establece un registro completo de todos los riesgos identificados en el anlisis. Estos riesgos pueden pasar a un
nuevo nivel de riesgo en una reevaluacin debido a un cambio en la probabilidad y / o impacto de la amenaza y es por eso que es fundamental
que su identificacin no se perder en el ejercicio.
SP 800-30 Pgina 25
Pgina 32
Durante este paso del proceso, los controles que podra mitigar o eliminar los riesgos identificados, como
apropiada para las operaciones de la organizacin, se proporcionan. El objetivo de la recomendada
controles es reducir el nivel de riesgo para el sistema de TI y sus datos a un nivel aceptable. La
siguientes factores deben ser considerados en la recomendacin de los controles y las alternativas de solucin a
minimizar o eliminar los riesgos identificados:
Las recomendaciones de control son los resultados del proceso de evaluacin de riesgos y proporcionar aportaciones al
el proceso de mitigacin de riesgos, en el que la seguridad del procedimiento y tcnica recomendada
los controles son evaluados, priorizados, y se apliquen.
Cabe sealar que no todos los controles posibles recomendadas se pueden implementar para reducir la prdida.
Para determinar cules son necesarios y apropiados para una organizacin especfica, una relacin costo-beneficio
anlisis, como se discute en la Seccin 4.6, debe llevarse a cabo para la propuesta recomendada
controles, para demostrar que los costos de implementacin de los controles pueden ser justificadas por la
reduccin en el nivel de riesgo. Adems, el impacto operativo (por ejemplo, el efecto sobre el sistema
rendimiento) y viabilidad (por ejemplo, los requisitos tcnicos, la aceptacin por el usuario) de la introduccin de la
opcin recomendada debe ser evaluado cuidadosamente durante el proceso de mitigacin de riesgos.
La salida de la Etapa 8 Recomendacin de control (s) y soluciones alternativas para mitigar el riesgo
Una vez que la evaluacin de riesgos se ha completado (amenaza los recursos y vulnerabilidades identificadas, riesgos
evaluados, y los controles recomendados de siempre), los resultados deben ser documentados en un funcionario
informe o reunin.
Un informe de evaluacin de riesgos es un informe de gestin que ayuda a la alta direccin, la misin
propietarios, a tomar decisiones sobre la poltica, de procedimiento, el presupuesto, y el sistema operativo y de gestin
cambios. A diferencia de un informe de auditora o investigacin, que se ve por la culpa, una evaluacin de riesgos
informe no debe ser presentada en forma acusatoria, sino como una sistemtica y analtica
acercarse a la evaluacin de riesgos, de manera que la alta direccin comprenda los riesgos y asignar
recursos para reducir y corregir las posibles prdidas. Por esta razn, algunas personas prefieren direccin
los pares de amenaza / vulnerabilidad como observaciones en lugar de los hallazgos en el informe de evaluacin de riesgos.
Apndice B proporciona un esquema sugerido para el informe de evaluacin de riesgos.
De salida de la Etapa 9 Informe de evaluacin de riesgos que se describen las amenazas y vulnerabilidades,
mide el riesgo, y proporciona recomendaciones para la implementacin de control
http://translate.googleusercontent.com/translate_f 26/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
SP 800-30 Pgina 26
Pgina 33
La mitigacin del riesgo, el segundo proceso de la gestin del riesgo, implica priorizar, evaluar y
la aplicacin de los controles de reduccin de riesgos pertinentes recomendadas por la evaluacin de riesgos
proceso.
Debido a la eliminacin de todos los riesgos suele ser poco prctico o casi imposible, es el
la responsabilidad de la alta direccin y los gerentes funcionales y de negocio a utilizar el menor costo
acercarse y poner en prctica los controles ms adecuados para disminuir el riesgo de la misin a un nivel aceptable
nivel, con un mnimo impacto negativo sobre los recursos y la misin de la organizacin.
Esta seccin describe las opciones de mitigacin de riesgos (Seccin 4.1), la estrategia de mitigacin de riesgos (Seccin
4.2), un enfoque para la aplicacin de control (Seccin 4.3), las categoras de control (Seccin 4.4), el
anlisis de costo-beneficio utilizado para justificar la aplicacin de los controles recomendados (Seccin
4,5), y el riesgo residual (Seccin 4.6).
La mitigacin del riesgo es una metodologa sistemtica utilizada por la administracin superior para reducir el riesgo de la misin.
La mitigacin del riesgo se puede lograr a travs de cualquiera de las siguientes opciones para reducirlo:
Los objetivos y la misin de una organizacin deben ser considerados en la seleccin de cualquiera de estos riesgos
las opciones de mitigacin. Puede que no sea prctico para hacer frente a todos los riesgos identificados, por lo que la prioridad debe ser
dada a los pares de amenazas y vulnerabilidad que tienen el potencial de causar la misin significativa
impacto o dao. Adems, en la proteccin de la misin de una organizacin y sus sistemas de TI, debido a
medio ambiente y los objetivos propios de cada organizacin, la opcin utilizada para mitigar el riesgo y
los mtodos utilizados para implementar controles pueden variar. El enfoque de "lo mejor del mercado" es el uso de
tecnologas apropiadas de entre los diversos productos de seguridad del proveedor, junto con la
opcin de mitigacin del riesgo adecuada y, medidas administrativas no tcnicas.
SP 800-30 Pgina 27
Pgina 34
La alta direccin, los propietarios de la misin, a sabiendas de los riesgos potenciales y los controles recomendados,
puede preguntar: "Cundo y bajo qu circunstancias debo actuar? Cuando voy a poner en prctica
estos controles para mitigar los riesgos y proteger a nuestra organizacin? "
El grfico de la mitigacin de riesgos en la Figura 4-1 se ocupa de estas cuestiones. Puntos apropiados para
http://translate.googleusercontent.com/translate_f 27/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
implementacin de las acciones de control se indican en esta figura con la palabra S.
Amenaza
Fuente
Sistema S
Vulnerable? S Vulnerabilidad Y
Diseo Explotable? para atacar
Existe
NO NO
Prdida
Riesgo S
Del atacante AnticipadoS Inaceptable
Existe Costo <Gain > Umbral Riesgo
NO NO
Esta estrategia se articula adems en los siguientes reglas generales, que proporcionan orientacin sobre
acciones para mitigar los riesgos de las amenazas humanas intencionales:
La estrategia describe anteriormente, con la excepcin del tercer elemento de la lista ("Cuando el costo del atacante
es menor que la ganancia potencial "), se aplica tambin a la mitigacin de los riesgos derivados de medio ambiente
SP 800-30 Pgina 28
Pgina 35
o las amenazas humanas intencionales (por ejemplo, del sistema o errores de usuario). (Debido a que no hay un "atacante", no
la motivacin o la ganancia es participar.)
Abordar los riesgos ms importantes y nos esforzamos para la mitigacin de riesgos suficiente al menor costo, con
impacto mnimo en otras capacidades de misin.
La siguiente metodologa de mitigacin de riesgos se describe el enfoque para controlar la puesta en prctica:
http://translate.googleusercontent.com/translate_f 28/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Para ayudar a la gerencia en la toma de decisiones y para identificar los controles rentables, un costo-
se lleva a cabo el anlisis de beneficio. Seccin 4.5 detalla los objetivos y el mtodo de
llevar a cabo el anlisis de costo-beneficio.
SP 800-30 Pgina 29
Pgina 36
Personas apropiadas (personal de la casa o del personal de contratacin externa) que tienen la
conocimientos tcnicos apropiados y conjuntos de habilidades para poner en prctica el control seleccionado se identifican,
y se le asigna la responsabilidad.
- Riesgos (pares de vulnerabilidad / amenaza) y los niveles de riesgo asociados (salida de riesgo
informe de evaluacin)
- Los controles recomendados (salida de informe de evaluacin de riesgos)
- Acciones prioritarias (dando prioridad a los elementos con muy alto y alto riesgo
niveles)
- Seleccin de los controles programados (determinados en funcin de la viabilidad, eficacia,
beneficios a la organizacin, y el costo)
- Los recursos necesarios para la aplicacin de los controles previstos seleccionados
- Las listas de los equipos y el personal responsable
- Fecha de inicio de la ejecucin
- Fecha prevista de finalizacin de la aplicacin
- Los requisitos de mantenimiento.
El plan de implementacin de salvaguardia prioriza las acciones de implementacin y
proyectos de las fechas de inicio y terminacin de destino. Este plan ayudar y agilizar el riesgo
proceso de mitigacin. Apndice C proporciona una tabla resumen de la muestra para la salvaguardia
plan de implementacin.
9 NIST Interagencial Informe 4749, Declaraciones de muestra de trabajo en materia de Servicios Federales de Seguridad Informtica: Para uso In-
Casa o la subcontratacin. diciembre de 1991.
SP 800-30 Pgina 30
Pgina 37
Entrada Mitigacin de Riesgos Actividades Salida
Paso 2.
Evaluar recomendados Lista de posibles
Evaluacin de riesgos Opciones de control controles
informe
Viabilidad
Eficacia
Paso 3.
Realizar anlisis de costos y beneficios Costo-beneficio
Impacto de la implementacin de anlisis
Impacto de la no implementacin
Los costos asociados
Paso 7 .
Implementar seleccionado Riesgos residuales
Controles
http://translate.googleusercontent.com/translate_f 30/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Figura 4-2. Mitigacin de Riesgos Metodologa Organigrama
SP 800-30 Pgina 31
Pgina 38
En la aplicacin de los controles recomendados para mitigar el riesgo, una organizacin debera considerar
tcnica, de gestin, y los controles de seguridad operativa, o una combinacin de tales controles, a
maximizar la eficacia de los controles de sus sistemas de TI y de la organizacin. Los controles de seguridad,
cuando se usa apropiadamente, puede prevenir, limitar o impedir el dao de amenazas de origen a una organizacin de
misin.
Esta seccin proporciona una visin general de alto nivel de algunas de las categoras de control. Ms detallada
orientacin sobre la implantacin y la planificacin de los controles de TI se puede encontrar en el NIST SP 800-18,
Gua para el desarrollo de Planes de Seguridad para Sistemas Informticos, y NIST SP 800-12,
Una introduccin a la seguridad informtica: El Manual NIST.
Secciones 4.4.1 a travs de 4.4.3 proporcionan una visin general de la tcnica, de gestin y operativa
controles, respectivamente.
Controles de seguridad tcnicas para la mitigacin de riesgos se pueden configurar para proteger contra determinados tipos de
amenazas. Estos controles pueden ser simples o complejas medidas y por lo general el sistema implicar
arquitecturas; disciplinas de la ingeniera; y paquetes de seguridad con una combinacin de hardware, software,
y el firmware. Todas estas medidas deben trabajar juntos para asegurar los datos crticos y sensibles,
funciones de informacin y sistemas de TI. Los controles tcnicos se pueden agrupar en los siguientes
grandes categoras, de acuerdo con el propsito primario:
Apoyo (Seccin 4.4.1.1). Controles de apoyo son de carcter genrico y la mayora lo sustentan
capacidades de seguridad. Estos controles deben estar en su lugar con el fin de poner en prctica otra
controles.
Prevenir (Seccin 4.4.1.2). Los controles preventivos se centran en la prevencin de las violaciones de seguridad
que se produzcan en el primer lugar.
Detectar y recuperar (Seccin 4.4.1.3). Estos controles se centran en la deteccin y
recuperarse de un fallo de seguridad.
La Figura 4-3 muestra los controles tcnicos primarios y las relaciones entre ellos.
SP 800-30 Pgina 32
Pgina 39
Evitar
Transaccin
Intimidad
No- Detectar, recuperar
http://translate.googleusercontent.com/translate_f 31/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Autenticacin repudio
Usuario Apoyo
o Autorizacin
Proceso Auditora
Control de Acceso
Aplicacin Recurso
Prueba de
Integridad
Deteccin de Intrusos
y la contencin
Restaurar estado
Comunicaciones Protegidas
(Salvo de divulgacin, sustitucin, modificacin, y repeticin)
Identificacin
Administracin de la Seguridad
Protecciones del sistema
(Mnimo privilegio, reutilizacin de objetos, la separacin de procesos, etc)
Identificacin. Este control proporciona la capacidad para identificar de forma nica los usuarios, los procesos,
y recursos de informacin. Para llevar a cabo otros controles de seguridad (por ejemplo, discrecional
control de acceso [DAC], control de acceso obligatorio [MAC], la rendicin de cuentas), es
esencial que ambos sujetos y objetos sean identificables.
Gestin de claves de cifrado. Las claves criptogrficas deben ser gestionados de forma segura
cuando las funciones criptogrficas se implementan en diversos otros controles.
La gestin de claves de cifrado incluye la generacin de claves, la distribucin, el almacenamiento y la
mantenimiento.
Administracin del Seguro. Las caractersticas de seguridad de un sistema de TI deben estar configurados
(Por ejemplo, activado o desactivado) para satisfacer las necesidades de una instalacin especfica y para la cuenta
los cambios en el entorno operativo. La seguridad del sistema se puede construir en
la seguridad del sistema operativo o la aplicacin. Off-the-shelf Comercial add-on
productos de seguridad disponibles.
SP 800-30 Pgina 33
Pgina 40
SP 800-30 Pgina 34
Pgina 41
Transaccin de privacidad. Ambos sistemas gubernamentales y del sector privado son cada vez ms
necesaria para mantener la privacidad de los individuos. Controles de privacidad de transaccin (por ejemplo,
Secure Sockets Layer, secure shell) a proteger contra la prdida de la privacidad con respecto al
operaciones realizadas por un individuo.
http://translate.googleusercontent.com/translate_f 33/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
en servidores
garantizar y estaciones
la integridad del de trabajo
sistema dedatos.
y los usuario detecta, identifica y elimina los virus de software para
Los controles de seguridad de gestin, junto con los controles tcnicos y operativos, son
implementado para gestionar y reducir el riesgo de prdida y de proteger a la misin de una organizacin.
Controles de gestin se centran en la estipulacin de la poltica de proteccin de informacin, pautas y
estndares, los cuales se llevan a cabo a travs de procedimientos operativos para cumplir las metas de la organizacin
y las misiones.
SP 800-30 Pgina 35
Pgina 42
Asignar la responsabilidad de seguridad para asegurarse de que se proporciona la seguridad adecuada para el
los sistemas de TI de misin crtica
Desarrollar y mantener planes de seguridad del sistema para documentar los controles y direccin actuales
controles previstos para los sistemas de TI de apoyo a la misin de la organizacin
Implementar controles de seguridad personal, incluyendo la separacin de funciones, privilegios mnimos,
y el registro de acceso a la computadora del usuario y terminacin
Realizar la conciencia de seguridad y capacitacin tcnica para garantizar que los usuarios finales y el sistema
los usuarios son conscientes de las reglas de comportamiento y de sus responsabilidades en la proteccin de la
La misin de la organizacin.
Implementar controles de seguridad del personal, incluida la retirada de personal, los antecedentes
investigaciones, la rotacin de los deberes
Llevar a cabo una revisin peridica de los controles de seguridad para garantizar que los controles son efectivos
Realizar auditoras peridicas del sistema
Llevar a cabo la gestin de riesgos en curso para evaluar y mitigar los riesgos
Autorizar los sistemas de TI para hacer frente y aceptar el riesgo residual.
Estndares de seguridad de una organizacin debe establecer un conjunto de controles y directrices para asegurar
http://translate.googleusercontent.com/translate_f 34/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
que los procedimientos
correctamente aplicado de seguridad
y puesto que rigen
en prctica deelacuerdo
uso de los
conactivos y recursos
los objetivos de TI de
y la misin delalaorganizacin
organizacin.son
La direccin juega un papel fundamental en la supervisin de la implementacin de polticas y para garantizar la
establecimiento de controles operacionales pertinentes.
SP 800-30 Pgina 36
Pgina 43
Los controles operacionales aplicados de acuerdo con un conjunto bsico de requisitos (por ejemplo, tcnica
controles) y las buenas prcticas de la industria, se utilizan para corregir las deficiencias operacionales que podran ser
ejercida por posibles amenazas recursos. Para garantizar la coherencia y uniformidad en la seguridad
operaciones, deben ser paso a paso los procedimientos y mtodos para la aplicacin de los controles operacionales
claramente definidos, documentados y mantenidos. Estos controles operacionales incluyen los presentados
en las secciones 4.4.3.1 y 4.4.3.2 a continuacin.
Acceso a los medios de comunicacin de datos de control y eliminacin (por ejemplo, control de acceso fsico, desmagnetizacin
mtodo)
Limitar la distribucin de datos externo (por ejemplo, el uso de etiquetado)
Los virus de software de control
instalaciones de salvaguardia de computacin (por ejemplo, guardias de seguridad, los procedimientos del lugar para los visitantes,
sistema de tarjetas electrnicas, control de acceso biomtrico, la gestin y la distribucin de
cerraduras y llaves, las barreras y vallas)
Asegure los armarios de cableado que los concentradores y cables de la casa
Proporcionar la capacidad de copia de seguridad (por ejemplo, los procedimientos de datos y copias de seguridad regulares del sistema,
registros de archivo que guardar todos los cambios de base de datos que se utilizarn en diversos escenarios de recuperacin)
Establecer los procedimientos y la seguridad fuera de las instalaciones de almacenamiento
Proteger los ordenadores porttiles, ordenadores personales (PC), estaciones de trabajo
Proteger los activos de TI de dao de fuego (por ejemplo, requisitos y procedimientos para el uso de
extintores, lonas, sistemas de rociadores secos, sistema de supresin de incendios de halones)
Proporcionar la fuente de energa de emergencia (por ejemplo, los requisitos para la alimentacin ininterrumpida
suministros, los generadores de energa en las instalaciones)
Control de la humedad y la temperatura del aula de informtica (por ejemplo, el funcionamiento del aire
acondicionadores, dispersin de calor).
Brindar seguridad fsica (por ejemplo, el uso de detectores de movimiento, circuito cerrado de televisin
de vigilancia, sensores y alarmas)
Garantizar la seguridad del medio ambiente (por ejemplo, el uso de detectores de humo y fuego, sensores y
alarmas).
Para asignar los recursos e implementar controles rentables, organizaciones, despus de identificar todos
posibles controles y la evaluacin de su viabilidad y eficacia, deben llevar a cabo un anlisis coste-beneficio
SP 800-30 Pgina 37
Pgina 44
http://translate.googleusercontent.com/translate_f 35/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
anlisis para cada control propuesto para determinar qu controles son necesarios y apropiados para
sus circunstancias.
Un anlisis de costo-beneficio para los nuevos controles propuestos o controles mejorados abarca el
siguiente:
Determinar el impacto de la aplicacin de los nuevos o mejorados controles
Determinar el impacto de la no aplicacin de los nuevos o mejorados controles
La estimacin de los costos de la implementacin. Estos pueden incluir, pero no se limitan
a, lo siguiente:
- Hardware y software compras
- Reduccin de la eficacia operativa si el rendimiento o la funcionalidad del sistema es
reducido para una mayor seguridad
- El costo de la implementacin de polticas y procedimientos adicionales
- El costo de la contratacin de personal adicional para poner en prctica las polticas propuestas, procedimientos o
servicios
- Los costes de formacin
- Los costes de mantenimiento
La evaluacin de los costos y beneficios contra el sistema y criticidad datos de ejecucin a
determinar la importancia de la organizacin de la implementacin de los nuevos controles, dada
sus costos y el impacto relativo.
La organizacin tendr que evaluar los beneficios de los controles en trminos de mantener una
postura aceptable para la misin de la organizacin. As como hay un costo para la implementacin de un
control necesario, hay un costo por no aplicarla. Al relacionar el resultado de no
implementar el control de la misin, las organizaciones pueden determinar si es factible
renunciar a su aplicacin.
Artculos (1) y (2) frente a los efectos intangibles (por ejemplo, los factores de disuasin) para la aplicacin o no
la aplicacin del nuevo control. Artculo (3), enumera los elementos tangibles (por ejemplo, el costo real).
(1) Impacto de habilitar funcin de auditora del sistema: La funcin de auditora del sistema permite que la seguridad del sistema
administrador para supervisar las actividades del sistema de los usuarios, pero se ralentizar el rendimiento del sistema y
por lo tanto, afectar la productividad del usuario. Asimismo, la aplicacin requerir recursos adicionales, como
descripcin del punto 3.
SP 800-30 Pgina 38
Pgina 45
(2) Impacto de no permitir caracterstica de auditora del sistema: las actividades del sistema de usuario y violacines no pueden ser
monitoreado y rastreado si la funcin de auditora del sistema est desactivado, y la seguridad no se puede maximizar
para proteger los datos confidenciales y la misin de la organizacin.
Costo para habilitar la auditora del sistema de funciones sin inconvenientes, caracterstica $integrada0
El personal adicional para llevar a cabo el examen de auditora y archivo, por ao $ XX, XXX
Formacin (por ejemplo, la configuracin de auditora del sistema, la generacin de informes) $ X, XXX
Add-on de informes de auditora de software $ X, XXX
Mantenimiento de los datos de auditora (por ejemplo, almacenamiento, archivo), por ao$ X, XXX
http://translate.googleusercontent.com/translate_f 36/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Los directivos de la organizacin deben determinar lo que constituye un nivel aceptable de la misin
riesgo. El impacto de un control puede entonces ser evaluada, y el control, ya sea incluido o excluido,
despus de que la organizacin determina un rango de niveles de riesgo factibles. Este rango vara entre
organizaciones; sin embargo, las siguientes reglas se aplican para determinar el uso de las nuevas medidas de control:
Las organizaciones pueden analizar el alcance de la reduccin del riesgo generado por el nuevo o mejorado
los controles en trminos de la probabilidad de amenaza reducido o impacto, los dos parmetros que definen la
nivel de riesgo mitigado a la misin de la organizacin.
La eliminacin de algunas de las vulnerabilidades del sistema (fallos y debilidad), con lo que
reducir el nmero de posibles pares threat-source/vulnerability
Adicin de un control dirigido a reducir la capacidad y la motivacin de una amenaza de cdigo
SP 800-30 Pgina 39
Pgina 46
hacer que el acceso fsico a la PC sea ms difcil (por ejemplo, guardar la PC en una habitacin cerrada,
con la llave guardada por el director).
La reduccin de la magnitud de los efectos adversos (por ejemplo, limitar el alcance de una
vulnerabilidad o la modificacin de la naturaleza de la relacin entre el sistema informtico y
La misin de la organizacin).
Reducir el nmero de
Fallos o errores
Aadir un objetivo
control
Nuevo o Mejorado
Riesgo Residual
Controles
Reducir Magnitud
de Impacto
http://translate.googleusercontent.com/translate_f 37/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
El riesgo que permanece despus de la implementacin de controles nuevos o mejorados es el riesgo residual.
Prcticamente no existe un sistema de TI est libre de riesgo, y no todos los controles implementados puede eliminar el riesgo de que
estn destinadas a abordar o reducir el nivel de riesgo a cero.
Conforme a lo dispuesto por la OMB Circular A-130 de la alta direccin de una organizacin o de la DAA, que
son responsables de proteger los activos de TI de la organizacin y su misin, debe autorizar (o
acreditar) el sistema de TI para iniciar o continuar operando. Esta autorizacin o acreditacin debe
realizarse por lo menos cada 3 aos o cada vez que grandes cambios se realizan en el sistema informtico. La intencin de
este proceso es identificar los riesgos que no se aborden plenamente y para determinar si adicional
Se necesitan controles para mitigar los riesgos identificados en el sistema informtico. Para las agencias federales, despus de
los controles apropiados se han puesto en marcha para los riesgos identificados, la DAA firmar un
declaracin de aceptar cualquier riesgo residual y autorizar el funcionamiento del nuevo sistema informtico o de la
continuacin de la tramitacin del sistema informtico existente. Si el riesgo residual no se ha reducido a un
nivel aceptable, el ciclo de gestin del riesgo debe repetirse para identificar una forma de disminuir la
riesgo residual a un nivel aceptable.
SP 800-30 Pgina 40
Pgina 47
5. EVALUACIN Y EVALUACIN
En esta seccin se hace hincapi en las buenas prcticas y la necesidad de una evaluacin de riesgos en curso y
evaluacin y los factores que conduzcan a un programa de gestin de riesgos exitosa.
Normalmente, el proceso de evaluacin de riesgos se repite por lo menos cada 3 aos para las agencias federales,
dispuesto por la Circular OMB A-130. Sin embargo, la gestin del riesgo debe llevarse a cabo y
integrado en el SDLC para los sistemas de TI, no porque es requerido por ley o reglamento, pero
ya que es una buena prctica y apoya los objetivos de negocio de la organizacin o misin.
Debe haber un horario especfico para evaluar y mitigar los riesgos de la misin, pero la
proceso que se realiza peridicamente tambin debe ser lo suficientemente flexible para permitir cambios cuando sea
se justifica, como cambios importantes en el entorno del sistema de TI y el procesamiento debido a los cambios
como resultado de las polticas y las nuevas tecnologas.
Un programa de gestin de riesgos deber seguir el (1) el compromiso de la alta direccin; (2)
el apoyo y la participacin del equipo de TI (ver seccin 2.3); (3) la competencia del riesgo
equipo de evaluacin, que debe tener los conocimientos necesarios para aplicar la metodologa de evaluacin de riesgos para un
sitio y sistema especfico, identificar los riesgos de la misin, y proporcionar salvaguardias rentables que cumplen
las necesidades de la organizacin; (4) la sensibilizacin y la cooperacin de los miembros del usuario
comunidad, que debe seguir los procedimientos y cumplir con los controles implementados a
salvaguardar la misin de su organizacin; y (5) una evaluacin y valoracin del curso
Relacionados con TI riesgos de la misin.
http://translate.googleusercontent.com/translate_f 38/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
SP 800-30 Pgina 41
Pgina 48
Preguntas de la entrevista deben ser adaptados basados en los que el sistema de TI evaluado se encuentra en el SDLC.
Ejemplos de preguntas que se formulan durante las entrevistas con el personal del sitio para obtener una comprensin de
las caractersticas operativas de una organizacin pueden incluir los siguientes:
http://translate.googleusercontent.com/translate_f 39/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Pgina 49
RESUMEN EJECUTIVO
I. Introduccin
Propsito
Alcance de esta evaluacin de riesgos
Describir los componentes del sistema, los elementos, los usuarios, ubicaciones de los sitios de campo (si lo hay), y cualquier otro
detalles sobre el sistema para ser considerado en la evaluacin.
Describa brevemente el mtodo utilizado para llevar a cabo la evaluacin de riesgos, tales como-
Los participantes (por ejemplo, los miembros del equipo de evaluacin de riesgos)
La tcnica utilizada para recoger informacin (por ejemplo, el uso de herramientas, cuestionarios)
El desarrollo y la descripcin de la escala de riesgo (por ejemplo, a, 4 x 4, o 5 x 5 niveles de riesgo 3 x 3
matriz).
Caracterizar el sistema, incluido el hardware (servidor, router, switch), software (por ejemplo, la aplicacin,
sistema operativo, protocolo), las interfaces del sistema (por ejemplo, enlace de comunicacin), datos y usuarios.
Proporcionar diagrama de conectividad o de entrada del sistema y diagrama de flujo de salida para delinear el alcance de esta
arriesgar esfuerzo de evaluacin.
Compilar y enumerar las posibles amenazas recursos y acciones de amenaza asociadas aplicables a la
sistema evalu.
Enumere las observaciones (pares de vulnerabilidad / amenaza). Cada observacin debe incluir-
VI. Resumen
Sume el nmero de observaciones. Resumir las observaciones, los niveles de riesgo asociados, la
Pgina 50
http://translate.googleusercontent.com/translate_f 40/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Pgina 51
http://translate.googleusercontent.com/translate_f 41/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
(1) Los riesgos (pares de vulnerabilidad / amenaza) son resultado del proceso de evaluacin de riesgos
(2) El nivel de riesgo asociado de cada riesgo identificado (par vulnerabilidad / riesgo) es el resultado del proceso de evaluacin de riesgos
(3) Los controles recomendados son resultado del proceso de evaluacin de riesgos
(4) se determina la prioridad de accin en base a los niveles de riesgo y los recursos disponibles (por ejemplo, los fondos, las personas, la tecnologa)
(5) Los controles previstos seleccionados de los controles recomendados para la implementacin
(6) Los recursos necesarios para la aplicacin de los controles previstos seleccionados
(7) Lista de equipo (s) y las personas que sern responsables de la aplicacin de los nuevos o mejorados controles
(8) la fecha y la fecha de finalizacin prevista para la aplicacin de los nuevos o mejorados controles de inicio
(9) requisito de mantenimiento para los nuevos o mejorados controles despus de la implementacin.
Pgina 52
APNDICE D: SIGLAS
Identificacin Identificador
PC Ordenador personal
SP Publicacin Especial
http://translate.googleusercontent.com/translate_f 42/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Pgina 53
E ANEXO: GLOSARIO
PLAZO DEFINICIN
Garanta Motivos para confiar en que los otros cuatro objetivos de seguridad (integridad,
disponibilidad, confidencialidad y responsabilidad) se han cumplido adecuadamente
por una implementacin especfica. "Adecuadamente satisfecho" incluye (1) una funcionalidad
que realiza correctamente, (2) una proteccin suficiente contra los errores involuntarios
(Por los usuarios o de software), y (3) suficiente resistencia a la penetracin intencional
o bypass.
Denegacin de servicio La prevencin del acceso no autorizado a los recursos o el retraso de tiempo
operaciones crticas.
Debido Cuidado Los gestores y sus organizaciones tienen la obligacin de proporcionar la informacin
de seguridad para asegurarse de que el tipo de control, el costo de control, y el
implementacin del control son apropiados para ser administrado el sistema.
Integridad El objetivo de seguridad que genera el requisito para la proteccin contra ya sea
intentos intencionales o accidentales de violar la integridad de datos (la propiedad que
de datos tiene cuando no ha sido alterado de manera no autorizada) o sistema de
integridad (la cualidad que tiene un sistema cuando se lleva a cabo su intencin
funcionan de manera irreprochable, libre de manipulacin no autorizada).
Pgina 54
Riesgos relacionados conElTIimpacto neto de la misin teniendo en cuenta (1) la probabilidad de que un determinado
amenaza de cdigo ejercer (disparar accidentalmente o intencionalmente explotar) una
la vulnerabilidad del sistema de informacin en particular y (2) el impacto resultante si
esto debera ocurrir. Riesgos relacionados con las TI se derivan de la responsabilidad legal o prdida misin
debido a-
1. Unauthorized (intencionada o accidental) la divulgacin, modificacin o
http://translate.googleusercontent.com/translate_f 43/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
destruccin de la informacin
2. Errores y omisiones no intencionales
3. Interrupciones debido a los desastres naturales o de origen humano
4. El no ejercer el debido cuidado y diligencia en la ejecucin y
funcionamiento del sistema de TI.
Riesgo Dentro de este documento, sinnimo de riesgo relacionados con las TI.
EVALUACIN DEL RIESGO El proceso de identificacin de los riesgos a la seguridad del sistema y determinar la
probabilidad de ocurrencia, el impacto resultante y salvaguardias adicionales
eso sera mitigar este impacto. Parte de la Gestin de Riesgos y sinnimo
con el Anlisis de Riesgos.
Seguridad Seguridad de los sistemas de informacin es una caracterstica del sistema y un conjunto de
mecanismos que abarcan todo el sistema tanto lgica como fsicamente.
Objetivos de seguridad Los cinco objetivos de seguridad son la integridad, disponibilidad, confidencialidad,
rendicin de cuentas, y la garanta.
Anlisis de Amenazas El examen de las amenazas recursos contra las vulnerabilidades del sistema a
determinar las amenazas para un sistema en particular en un operativo especial
medio ambiente.
Vulnerabilidad Un defecto o debilidad en los procedimientos de seguridad del sistema, el diseo, la implementacin,
o los controles internos que podran ser ejercidas (accidentalmente activan o
explotado intencionalmente) y resultar en un fallo de seguridad o una violacin de la
poltica de seguridad del sistema.
Pgina 55
APNDICE F: REFERENCIAS
Computer Systems Boletn Laboratorio. Amenazas a los sistemas informticos: una visin general .
Marzo de 1994.
NIST Interagencial Reports 4749. Declaraciones muestra del trabajo de Federal Computer Security
Servicios: Para uso interno o la subcontratacin. diciembre de 1991.
NIST Special Publication 800-12. Una introduccin a la seguridad informtica: El Manual NIST .
Octubre de 1995.
NIST Special Publication 800-14. Principios y Prcticas Generalmente Aceptados para la seguridad
Sistemas de Tecnologa de la Informacin . Septiembre de 1996. Co-autor con Barbara Guttman.
NIST Special Publication 800-18. Gua para el desarrollo de Planes de Seguridad de la Informacin
Sistemas de Tecnologa . Diciembre de 1998. Co-autor con los Directores de Seguridad Informtica Federales
Grupo de trabajo del Foro.
http://translate.googleusercontent.com/translate_f 44/45
10/6/2014 Gua de Gestin de Riesgos prr Sistemas Informticos
Sistemas . Agosto de 2001.
NIST Special Publication 800-27. Principios de Ingeniera de Seguridad de TI . Junio
de 2001.
http://translate.googleusercontent.com/translate_f 45/45