Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Indice
CONTENIDOS
CONTENIDOS
Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad
Este capítulo comienza con la revisión de los puntos fuertes y débiles de los enfoques proactivo y
reactivo de la administración de riesgos de seguridad.
Enfoque reactivo
Actualmente, muchos profesionales de tecnología de información (TI) sienten una tremenda presión
por terminar sus tareas rápidamente y provocar la menor cantidad de incomodidades posibles a los
usuarios. Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que
lo único que tienen tiempo de hacer es contener la situación, averiguar qué ha sucedido y reparar
los sistemas lo más rápidamente posible. Algunos pueden intentar identificar la causa principal, pero
esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque
un enfoque reactivo puede constituir una respuesta táctica eficaz a los riesgos de seguridad des-
cubiertos y se han convertido en incidencias de seguridad, la imposición de un pequeño nivel de
rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus
recursos.
Las incidencias de seguridad recientes pueden servir de ayuda para que una organización se prepare
y prevea los problemas futuros. Esto significa que una organización que dedica tiempo a responder
a las incidencias de seguridad de un modo calmado y racional, mientras determina los motivos sub-
yacentes que han permitido que se produjera la incidencia, podrá protegerse mejor de problemas
similares en el futuro y responderá rápidamente a otros problemas que puedan aparecer.
Queda fuera del alcance de esta guía el examen en profundidad de la respuesta a incidencias, pero
los siguientes seis pasos, que responden a incidencias de seguridad, pueden ayudarle a afrontarlos
de un modo rápido y eficaz:
1. Proteger la vida humana y la seguridad de las personas. Ésta debe ser siempre la primera
prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de
vida, apagarlos puede no ser una opción; tal vez se pueden aislar lógicamente los sistemas
en la red cambiando la configuración de enrutadores y conmutadores sin interrumpir su
capacidad de ayudar a los pacientes.
2. Contener el daño. Contener el daño que ha provocado el ataque ayuda a limitar daños
adicionales. Proteja rápidamente los datos, el software y el hardware importantes. Minimizar
la alteración de los recursos de información es una consideración importante, pero mantener
los sistemas conectados durante un ataque puede causar más problemas y de mayor difusión
a largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar
los daños desconectando los servidores de la red. No obstante, desconectar los servidores
puede resultar más perjudicial que beneficioso. Utilice su criterio y conocimientos de la red
y sistemas para tomar esta decisión. Si determina que no habrá efectos negativos o que
estos se verán compensados por las ventajas positivas de la actividad, la contención se debe
iniciar lo más pronto posible durante una incidencia de seguridad mediante la desconexión
de la red de los sistemas que estén afectados. Si no puede contener el daño mediante el
aislamiento de los servidores, supervise activamente las acciones del pirata informático para
poder reparar los daños tan pronto como sea posible. Ante cualquier incidencia, asegúrese
de que todos los archivos de registro se guardan antes de apagar los servidores con el fin
de conservar la información que contienen dichos archivos como prueba si usted (o sus
abogados) la necesitan posteriormente.
3. Evaluar el daño. Cree inmediatamente un duplicado de los discos duros de los servidores
atacados y quítelos para realizar un examen forense posterior. A continuación, evalúe los
daños. Debe empezar por determinar el alcance de los daños que el ataque ha causado
tan pronto como sea posible, inmediatamente después de contener la situación y duplicar
los discos duros. Esta acción es importante para poder restaurar las operaciones de la
organización tan pronto como sea posible, al mismo tiempo que se conserva una copia de
los discos duros para su investigación. Si no se puede evaluar el daño de forma oportuna,
debe implementar un plan de contingencias para que las operaciones de negocios normales
y la productividad puedan continuar. En este momento las organizaciones pueden establecer
contacto con los cuerpos de seguridad en relación con la incidencia; no obstante, debe
establecer y mantener relaciones con los cuerpos de seguridad que tengan jurisdicción
sobre la actividad de su organización antes de que se produzca una incidencia para que,
cuando aparezca un problema grave, sepa con quien debe ponerse en contacto y con
quien debe colaborar. También debe avisar inmediatamente al departamento jurídico de
su empresa para que pueda determinar si es posible emprender una demanda civil como
consecuencia de los daños.
4. Determinar la causa del daño. Para determinar el origen del asalto, es necesario conocer
los recursos a los que va dirigido el ataque y las vulnerabilidades aprovechadas para obtener
acceso o interrumpir los servicios. Revise la configuración del sistema, el nivel de revisión,
los registros del sistema, los registros de auditoría y las pistas de auditoría en los sistemas
afectados directamente y en los dispositivos de red que redirijan el tráfico. Normalmente,
estas revisiones ayudan a descubrir dónde se ha originado el ataque en el sistema y los
demás recursos afectados. Debe llevar a cabo esta actividad en los sistemas informáticos
instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas unidades
deben permanecer intactas, con fines forenses, de modo que los cuerpos de seguridad o
sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la
justicia. Si necesita crear una copia de seguridad para efectuar pruebas y determinar la
causa del daño, cree una segunda copia de seguridad del sistema original y no utilice las
unidades creadas en el paso 3.
5. Reparar el daño. Es de suma importancia que se repare el daño tan pronto como sea
posible para así restaurar las operaciones de negocios normales y los datos que se han
perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la
organización deben cubrir la estrategia de restauración. El equipo de respuesta a incidencias
también debe estar disponible para encargarse del proceso de restauración y recuperación,
o para proporcionar orientación acerca del proceso al equipo responsable. Durante la
recuperación, se ejecutan los procedimientos de contingencias con el fin de evitar una
mayor propagación del daño y aislarlo. Antes de devolver los sistemas reparados al servicio,
tenga cuidado de que no se vuelvan a infectar inmediatamente; para ello, asegúrese de que
ha mitigado las vulnerabilidades que se hayan atacado durante la incidencia.
6. Revisar las directivas de respuesta y actualización. Después de haber completado las fases
de documentación y recuperación, debe revisar a fondo el proceso. Determine con su
equipo cuáles son los pasos que se realizaron correctamente y qué errores se cometieron.
En casi todos los casos, descubrirá que es necesario modificar los procesos para permitirle
administrar mejor las incidencias en el futuro. Inevitablemente encontrará debilidades en
su plan de respuesta a incidencias. En esto estriba la cuestión de este ejercicio detallado:
se buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso
de plan de respuesta a incidencias para poder afrontar las incidencias futuras con menos
problemas.
Proteger vida
Contener
Evaluar
Determinar causa
Reparar
Revisar
Enfoque proactivo
La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en Estados Uni-
dos cada año. De ellas, más de 100.000 deben recibir tratamiento en hospitales y cerca de 36.000
mueren. Podría tratar la amenaza de la enfermedad esperando a infectarse y, después, tomar la
medicina para tratar los síntomas si enferma. O también podría optar por vacunarse antes de que
comenzara la temporada de la gripe.
En las secciones posteriores de este capítulo, y en el resto de los capítulos de esta guía, se examina-
rá la administración de riesgos de seguridad proactiva en profundidad. Todas las metodologías de
administración de riesgos de seguridad comparten algunos procedimientos de alto nivel comunes,
que son:
Los términos administración de riesgos y evaluación de riesgos se utilizan con frecuencia en esta
guía y, aunque están relacionados, no se pueden usar indistintamente. El proceso de administración
de riesgos de seguridad de Microsoft define la administración de riesgos como el esfuerzo global
para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluación de riesgos
se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa.
En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numéricos obje-
tos para cada uno de los componentes recopilados durante la evaluación de riesgos y el análisis de
costo-beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en función
de lo que costaría: reemplazarlo, en pérdida de productividad, en reputación de marca y en otros
valores de negocios directos e indirectos. Se debe intentar emplear la misma objetividad al calcular
la exposición de activos, el costo de controles y el resto de los valores que se identifiquen durante el
proceso de administración de riesgos.
Existen algunos puntos débiles importantes que son inherentes a este enfoque y que no se pueden
solventar fácilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma
eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrecen más
detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en estima-
ciones. ¿Cómo es posible calcular de un modo preciso y exacto las repercusiones que una incidencia
de seguridad de amplia difusión podría tener en la marca? Se pueden examinar los datos históricos,
si están disponibles, pero no suelen estarlo.
En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspec-
tos de la administración de riesgos cuantitativa han comprobado que el proceso es excesivamente
costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y
normalmente implican a muchos miembros del personal con discusiones acerca de cómo se han cal-
culado los valores fiscales específicos. En tercer lugar, en organizaciones con valores altos, el costo
de exposición puede ser tan elevado que se gastaría una ingente cantidad de dinero en mitigar los
riesgos a los que estuvieran expuestas. Pero esto no es realista, una organización no gastaría todo su
presupuesto en proteger un solo activo, ni siquiera los cinco principales.
En este punto, puede resultar útil disponer de una descripción general de las ventajas y los inconve-
nientes de las evaluaciones de riesgos cuantitativas. En el resto de esta sección se examinan algunos
de los factores y valores que normalmente se miden durante una evaluación de riesgos cuantitativa,
como la valoración de activos, el costo de los controles, la determinación del rendimiento de la in-
versión en seguridad (ROSI) y el cálculo de valores para la expectativa de pérdida simple (SLE), la fre-
cuencia anual (ARO) y la expectativa de pérdida anual (ALE). No se trata en absoluto de un examen
exhaustivo de todos los aspectos de la evaluación de riesgos cuantitativa, sino de un breve examen
de algunos detalles de dicho enfoque para que compruebe que las cifras que conforman la base de
todos los cálculos son subjetivas en sí mismas.
Valoración de activos
▪▪ El valor global del activo en la organización. Calcular o estimar el valor del activo en términos
financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la
interrupción temporal de un sitio web de comercio electrónico, que normalmente funciona
siete días a la semana, 24 horas al día y que genera un promedio de 2.000 dólares por hora
en ingresos procedentes de los pedidos de los clientes. Puede establecer con seguridad que
el valor anual del sitio web en términos de ingresos por ventas es de 17.520.000 dólares.
La expectativa de pérdida simple es la cantidad total de ingresos que se pierde por una única inci-
dencia del riesgo. Se trata de un importe monetario que se asigna a un único suceso que representa
la cantidad de pérdida potencial de la empresa, en caso de que una amenaza específica aproveche
una vulnerabilidad (la expectativa de pérdida simple es similar a la repercusión de un análisis de
riesgos cualitativo). Calcule dicha expectativa multiplicando el valor del activo por el factor de expo-
sición. Dicho factor representa el porcentaje de pérdida que una amenaza realizada podría suponer
para un determinado activo. Si un conjunto de servidores web tiene un valor de activo de 150.000
dólares y un incendio provoca daños estimados en el 25% de su valor, en este caso la expectativa de
pérdida simple será de 37.500 dólares. No obstante se trata de un ejemplo muy simplificado, ya que
es necesario tener en cuenta otros gastos.
La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el
año. La elaboración de estas estimaciones resulta muy difícil; existen muy pocos datos actuariales
disponibles. Lo que se ha recopilado hasta ahora parece ser información privada, que poseen unas
pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias
anteriores y consulte a expertos en administración de riesgos, además de consultores de negocios y
de seguridad. La frecuencia anual es similar a la probabilidad de un análisis de riesgos cualitativo y
va del 0% (nunca) al 100% (siempre).
La expectativa de pérdida anual es la cantidad total de dinero que la organización perderá en un año
si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de
pérdida simple por la frecuencia anual. La expectativa de pérdida anual es similar al intervalo relati-
vo de un análisis de riesgo cualitativo.
Por ejemplo, si un incendio en el conjunto de servidores web de la misma empresa provoca daños
valorados en 37.500 dólares y la probabilidad, o frecuencia anual, de que se produzca un incendio
tiene un valor 0,1 (lo que indica una vez cada diez años), en este caso el valor de frecuencia anual
sería 3.750 dólares (37.500 x 0,1 = 3.750).
La expectativa de pérdida anual proporciona un valor con el que la organización puede trabajar para
presupuestar cuánto costará establecer controles o protecciones para prevenir este tipo de daño (en
este caso, 3.750 dólares o menos al año) y brindar un nivel adecuado de protección. Es importante
cuantificar la posibilidad real de un riesgo y el daño, en términos monetarios, que puede causar la
amenaza para determinar la cantidad que se puede destinar en la protección contra la posible con-
secuencia de la amenaza.
Determinar el costo de los controles requiere estimaciones precisas de cuánto costará adquirir, pro-
bar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir
la compra o desarrollo de la solución de control, la implementación y configuración de la solución
de control, el mantenimiento de la misma, la notificación de nuevas directivas o procedimientos
relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de
cómo utilizar y dar soporte al control, supervisarlo y combatir la pérdida de comodidad o produc-
tividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio dañe
el conjunto de servidores web, la organización ficticia puede implementar un sistema de extinción
de incendios automatizado. Será necesario requerir los servicios de un contratista para que diseñe
e instale el sistema y, después, se tiene que supervisar continuamente. También será necesario
comprobar el sistema periódicamente y, en ocasiones, recargarlo con los retardantes químicos que
utilice.
Rendimiento de la inversión en seguridad
(expectativa de pérdida anual antes del control) – (expectativa de pérdida anual después del
Por ejemplo, la expectativa de pérdida anual de la amenaza otorgada por un pirata informático que
inutilice un servidor web es de 12.000 dólares, y después de implementar la protección sugerida se
valora en 3.000 dólares. El costo anual del mantenimiento de la protección es de 650 dólares, por lo
que el rendimiento de la inversión en seguridad es de 8.350 dólares al año, tal como se expresa en
la siguiente ecuación: 12.000 - 3.000 - 650 = 8.350.
Los elementos de entrada de los análisis de riesgos cuantitativos proporcionan objetivos y resulta-
dos claramente definidos. Los siguientes elementos normalmente se derivan de los resultados de
los pasos anteriores:
Ha podido comprobar que todos estos cálculos se basan en estimaciones subjetivas. Las cifras clave
que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos
actuariales bien definidos, sino de las opiniones de aquellos que realizan la evaluación. El valor del
activo, la expectativa de pérdida simple, la frecuencia anual y el costo de los controles son cifras
que incorporan los propios participantes (normalmente después de mucho debate y compromiso).
Como se puede comprobar, el proceso básico de las evaluaciones cualitativas es muy similar a lo que
sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las comparaciones
entre el valor de un activo y otro son relativas, y los participantes no dedican demasiado tiempo en
intentar calcular cifras financieras exactas para la valoración de activos. Lo mismo sucede en el cálcu-
lo de las repercusiones posibles si se produce un riesgo y el costo de la implementación de controles.
Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras exac-
tas para el valor de activos, costo de control, etc, y el proceso exige menos personal. Los proyectos
de administración de riesgos cualitativa normalmente empiezan a arrojar resultados importantes al
cabo de pocas semanas, mientras que en las organizaciones que optan por un enfoque cuantitativo
se aprecian pocas ventajas durante meses y, en ocasiones, años de esfuerzos. El inconveniente de
un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos de los responsables
de la toma de decisiones, en concreto los que disponen de experiencia en cuestiones financieras o
contables, pueden no sentirse cómodos con los valores relativos determinados durante un proyecto
de evaluación de riesgos cualitativa.
Los enfoques cualitativo y cuantitativo de la administración de riesgos de seguridad tienen sus ven-
tajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adop-
ten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeño tamaño o con recursos
limitados normalmente encontrarán más adecuado el enfoque cualitativo. En la siguiente tabla se
resumen las ventajas y los inconvenientes de cada enfoque:
Ventajas ▪▪ Se asignan prioridades a los riesgos según las ▪▪ Permite la visibilidad y la comprensión de la
repercusiones financieras; se asignan priorida- clasificación de riesgos.
des de los activos según los valores financieros. ▪▪ Resulta más fácil lograr el consenso.
▪▪ Los resultados facilitan la administración del ▪▪ No es necesario cuantificar la frecuencia de las
riesgo por el rendimiento de la inversión en amenazas.
seguridad. ▪▪ No es necesario determinar los valores finan-
▪▪ Los resultados se pueden expresar en termino- cieros de los activos.
logía específica de administración (por ejem- ▪▪ Resulta más fácil involucrar a personas que no
plo: los valores monetarios y la probabilidad, sean expertas en seguridad o en informática.
expresados como un porcentaje específico).
▪▪ La precisión tiende a ser mayor con el tiempo
a medida que la organización crea un registro
de historial de los datos mientras gana expe-
riencia.
Cuantitativo Cualitativo
Inconvenientes ▪▪ Los valores de repercusión asignados a los ries- ▪▪ No hay una distinción suficiente entre los ries-
gos se basan en las opiniones subjetivas de los gos importantes.
participantes. ▪▪ Resulta difícil invertir en la implementación de
▪▪ El proceso para lograr resultados creíbles y el controles porque no existe una base para un
consenso es muy lento. análisis de costo-beneficio.
▪▪ Los cálculos pueden ser complejos y lentos. ▪▪ Los resultados dependen de la calidad del
▪▪ Los resultados solo se presentan en términos equipo de administración de riesgos que los
monetarios y pueden ser difíciles de interpre- hayan creado.
tar por parte de personas sin conocimientos
técnicos.
▪▪ El proceso requiere experiencia, por lo que los
participantes no pueden recibir cursos fácil-
mente durante el mismo.
Esta lista breve se utiliza durante la siguiente fase, apoyo a la toma de decisiones, en la que se pro-
pone las soluciones de control posibles y se evalúan las mejores, que posteriormente se presentan
al comité directivo de seguridad de la organización como recomendaciones para mitigar los riesgos
principales. Durante la tercera fase, implementación de controles, los responsables de mitigación
implementan realmente las soluciones de control. La cuarta fase, medición de la efectividad del
programa, se utiliza para comprobar que los controles proporcionan el nivel de protección previsto
y para examinar los cambios en el entorno, como nuevas aplicaciones de negocios o herramientas
de ataque que puedan cambiar el perfil de riesgo de la organización.
Meidición de la
Evaluación
efectividad del
del riesgo
programa
Apoyo a la
Implementación
toma de
de controles
desiciones
En la figura 2.2 se ilustran las cuatro fases del proceso de administración de riesgos de seguridad de
Microsoft. En el capítulo 3, “Información general acerca de la administración de riesgos de seguri-
dad”, se ofrece un examen exhaustivo del proceso. En los capítulos posteriores se explican los pasos
y las tareas asociados a cada una de las cuatro fases.