TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Unidad 2: Análisis y gestión de riesgos Material de

profundización 2: Guía de administración
de riesgos de seguridad. Microsoft (2004)
TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Indice
CONTENIDOS

Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad 3

Comparación de los enfoques de administración de riesgos 3

Enfoque reactivo 4
Enfoque proactivo 7

Enfoques de asignación de prioridades a riesgos 8

Evaluación de riesgos cuantitativa 8
Detalles del enfoque cuantitativo 9
Valoración de activos 9
Determinación de la expectativa de pérdida simple 10
Determinación de la frecuencia anual 11
Determinación de la expectativa de pérdida anual 11
Determinación del costo de los controles 11
Rendimiento de la inversión en seguridad 12
Resultados de los análisis de riesgos cuantitativos 12
Evaluación de riesgos cualitativa 12
Comparación de los dos enfoques 13
Cuantitativo 14
Cualitativo 14
Ventajas 14
Cuantitativo 14
Cualitativo 14
Inconvenientes 14

Proceso de administración de riesgos de seguridad de Microsoft 15

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 2

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

CONTENIDOS
Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad

Este capítulo comienza con la revisión de los puntos fuertes y débiles de los enfoques proactivo y
reactivo de la administración de riesgos de seguridad.

Luego se evaluarán y compararán los dos métodos tradicionales: la administración de riesgos de

seguridad cualitativa y la cuantitativa.

Finalmente, el proceso de administración de riesgos de seguridad de Microsoft se presenta como

un método alternativo, que proporciona un equilibrio entre estas metodologías, lo que deriva en un
proceso que ha demostrado su eficacia en Microsoft.

Comparación de los enfoques de administración de riesgos

Muchas organizaciones se han introducido en la administración de riesgos de seguridad debido a

la necesidad de responder a una incidencia de seguridad relativamente pequeña. Por ejemplo, el
equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto
informático debe averiguar cómo tiene que erradicar el virus sin destruir el equipo ni los datos que
contiene. Independientemente de cuál sea la incidencia inicial, a medida que aparecen cada vez
más problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios,
muchas organizaciones sienten frustración al tener que responder de una crisis a tras otra. Desean
una alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las inci-
dencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo de
forma eficaz evolucionan a un enfoque más proactivo pero, como se explicará en este capítulo, esto
solo constituye parte de la solución.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 3

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Enfoque reactivo

Actualmente, muchos profesionales de tecnología de información (TI) sienten una tremenda presión
por terminar sus tareas rápidamente y provocar la menor cantidad de incomodidades posibles a los
usuarios. Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que
lo único que tienen tiempo de hacer es contener la situación, averiguar qué ha sucedido y reparar
los sistemas lo más rápidamente posible. Algunos pueden intentar identificar la causa principal, pero
esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque
un enfoque reactivo puede constituir una respuesta táctica eficaz a los riesgos de seguridad des-
cubiertos y se han convertido en incidencias de seguridad, la imposición de un pequeño nivel de
rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus
recursos.

Las incidencias de seguridad recientes pueden servir de ayuda para que una organización se prepare
y prevea los problemas futuros. Esto significa que una organización que dedica tiempo a responder
a las incidencias de seguridad de un modo calmado y racional, mientras determina los motivos sub-
yacentes que han permitido que se produjera la incidencia, podrá protegerse mejor de problemas
similares en el futuro y responderá rápidamente a otros problemas que puedan aparecer.

Queda fuera del alcance de esta guía el examen en profundidad de la respuesta a incidencias, pero
los siguientes seis pasos, que responden a incidencias de seguridad, pueden ayudarle a afrontarlos
de un modo rápido y eficaz:

1. Proteger la vida humana y la seguridad de las personas. Ésta debe ser siempre la primera
prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de
vida, apagarlos puede no ser una opción; tal vez se pueden aislar lógicamente los sistemas
en la red cambiando la configuración de enrutadores y conmutadores sin interrumpir su
capacidad de ayudar a los pacientes.
2. Contener el daño. Contener el daño que ha provocado el ataque ayuda a limitar daños
adicionales. Proteja rápidamente los datos, el software y el hardware importantes. Minimizar
la alteración de los recursos de información es una consideración importante, pero mantener
los sistemas conectados durante un ataque puede causar más problemas y de mayor difusión
a largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar
los daños desconectando los servidores de la red. No obstante, desconectar los servidores
puede resultar más perjudicial que beneficioso. Utilice su criterio y conocimientos de la red
y sistemas para tomar esta decisión. Si determina que no habrá efectos negativos o que
estos se verán compensados por las ventajas positivas de la actividad, la contención se debe
iniciar lo más pronto posible durante una incidencia de seguridad mediante la desconexión
de la red de los sistemas que estén afectados. Si no puede contener el daño mediante el
aislamiento de los servidores, supervise activamente las acciones del pirata informático para
poder reparar los daños tan pronto como sea posible. Ante cualquier incidencia, asegúrese
de que todos los archivos de registro se guardan antes de apagar los servidores con el fin
de conservar la información que contienen dichos archivos como prueba si usted (o sus
abogados) la necesitan posteriormente.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 4

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

3. Evaluar el daño. Cree inmediatamente un duplicado de los discos duros de los servidores
atacados y quítelos para realizar un examen forense posterior. A continuación, evalúe los
daños. Debe empezar por determinar el alcance de los daños que el ataque ha causado
tan pronto como sea posible, inmediatamente después de contener la situación y duplicar
los discos duros. Esta acción es importante para poder restaurar las operaciones de la
organización tan pronto como sea posible, al mismo tiempo que se conserva una copia de
los discos duros para su investigación. Si no se puede evaluar el daño de forma oportuna,
debe implementar un plan de contingencias para que las operaciones de negocios normales
y la productividad puedan continuar. En este momento las organizaciones pueden establecer
contacto con los cuerpos de seguridad en relación con la incidencia; no obstante, debe
establecer y mantener relaciones con los cuerpos de seguridad que tengan jurisdicción
sobre la actividad de su organización antes de que se produzca una incidencia para que,
cuando aparezca un problema grave, sepa con quien debe ponerse en contacto y con
quien debe colaborar. También debe avisar inmediatamente al departamento jurídico de
su empresa para que pueda determinar si es posible emprender una demanda civil como
consecuencia de los daños.
4. Determinar la causa del daño. Para determinar el origen del asalto, es necesario conocer
los recursos a los que va dirigido el ataque y las vulnerabilidades aprovechadas para obtener
acceso o interrumpir los servicios. Revise la configuración del sistema, el nivel de revisión,
los registros del sistema, los registros de auditoría y las pistas de auditoría en los sistemas
afectados directamente y en los dispositivos de red que redirijan el tráfico. Normalmente,
estas revisiones ayudan a descubrir dónde se ha originado el ataque en el sistema y los
demás recursos afectados. Debe llevar a cabo esta actividad en los sistemas informáticos
instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas unidades
deben permanecer intactas, con fines forenses, de modo que los cuerpos de seguridad o
sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la
justicia. Si necesita crear una copia de seguridad para efectuar pruebas y determinar la
causa del daño, cree una segunda copia de seguridad del sistema original y no utilice las
unidades creadas en el paso 3.
5. Reparar el daño. Es de suma importancia que se repare el daño tan pronto como sea
posible para así restaurar las operaciones de negocios normales y los datos que se han
perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la
organización deben cubrir la estrategia de restauración. El equipo de respuesta a incidencias
también debe estar disponible para encargarse del proceso de restauración y recuperación,
o para proporcionar orientación acerca del proceso al equipo responsable. Durante la
recuperación, se ejecutan los procedimientos de contingencias con el fin de evitar una
mayor propagación del daño y aislarlo. Antes de devolver los sistemas reparados al servicio,
tenga cuidado de que no se vuelvan a infectar inmediatamente; para ello, asegúrese de que
ha mitigado las vulnerabilidades que se hayan atacado durante la incidencia.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 5

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

6. Revisar las directivas de respuesta y actualización. Después de haber completado las fases
de documentación y recuperación, debe revisar a fondo el proceso. Determine con su
equipo cuáles son los pasos que se realizaron correctamente y qué errores se cometieron.
En casi todos los casos, descubrirá que es necesario modificar los procesos para permitirle
administrar mejor las incidencias en el futuro. Inevitablemente encontrará debilidades en
su plan de respuesta a incidencias. En esto estriba la cuestión de este ejercicio detallado:
se buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso
de plan de respuesta a incidencias para poder afrontar las incidencias futuras con menos
problemas.

Esta metodología se ilustra en el siguiente diagrama:

Proteger vida

Contener

Evaluar

Determinar causa

Reparar

Revisar

> Figura 2.1 Proceso de respuesta a incidencias.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 6

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Enfoque proactivo

La administración de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un

enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuación, llevar a cabo la respues-
ta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan planes para
proteger los activos importantes de la organización mediante la implementación de controles que
reduzcan el riesgo de que el software malintencionado, los piratas informáticos o un uso incorrecto
accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una analogía.

La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en Estados Uni-
dos cada año. De ellas, más de 100.000 deben recibir tratamiento en hospitales y cerca de 36.000
mueren. Podría tratar la amenaza de la enfermedad esperando a infectarse y, después, tomar la
medicina para tratar los síntomas si enferma. O también podría optar por vacunarse antes de que
comenzara la temporada de la gripe.

Un enfoque proactivo puede ayudar a las

organizaciones a reducir considerablemente el
número de incidencias de seguridad

Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un

enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el número de
incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas desapa-
rezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus procesos de
respuesta a incidencias mientras desarrollan simultáneamente enfoques proactivos a largo plazo.

En las secciones posteriores de este capítulo, y en el resto de los capítulos de esta guía, se examina-
rá la administración de riesgos de seguridad proactiva en profundidad. Todas las metodologías de
administración de riesgos de seguridad comparten algunos procedimientos de alto nivel comunes,
que son:

1. Identificar los activos de negocios.

2. Determinar el daño que un ataque a un activo podría provocar a la organización.
3. Identificar las vulnerabilidades que aprovechará el ataque.
4. Determinar el modo de minimizar el riesgo de ataque mediante la implementación de los
controles adecuados.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 7

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Enfoques de asignación de prioridades a riesgos

Los términos administración de riesgos y evaluación de riesgos se utilizan con frecuencia en esta
guía y, aunque están relacionados, no se pueden usar indistintamente. El proceso de administración
de riesgos de seguridad de Microsoft define la administración de riesgos como el esfuerzo global
para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluación de riesgos
se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa.

La evaluación de riesgos se define como el

proceso de identificar y asignar prioridades a los
riesgos para la empresa
Hay numerosas metodologías distintas para asignar prioridades a los riesgos o evaluarlos, pero la
mayoría están basadas en uno de estos dos enfoques o en una combinación de ambos: administra-
ción de riesgos cuantitativa o administración de riesgos cualitativa. Consulte en la lista de recursos
de la sección “Información adicional” al final del capítulo 1, “Introducción a la guía de administra-
ción de riesgos de seguridad”, los vínculos a otras metodologías de evaluación de riesgos. En las
siguientes secciones de este capítulo se ofrecen un resumen y una comparación de la evaluación de
riesgos cuantitativa y la cualitativa, seguidos de una breve descripción del proceso de administración
de riesgos de seguridad de Microsoft para que pueda apreciar cómo combina aspectos de ambos
enfoques.

Evaluación de riesgos cuantitativa

En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numéricos obje-
tos para cada uno de los componentes recopilados durante la evaluación de riesgos y el análisis de
costo-beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en función
de lo que costaría: reemplazarlo, en pérdida de productividad, en reputación de marca y en otros
valores de negocios directos e indirectos. Se debe intentar emplear la misma objetividad al calcular
la exposición de activos, el costo de controles y el resto de los valores que se identifiquen durante el
proceso de administración de riesgos.

Existen algunos puntos débiles importantes que son inherentes a este enfoque y que no se pueden
solventar fácilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma
eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrecen más
detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en estima-
ciones. ¿Cómo es posible calcular de un modo preciso y exacto las repercusiones que una incidencia
de seguridad de amplia difusión podría tener en la marca? Se pueden examinar los datos históricos,
si están disponibles, pero no suelen estarlo.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 8

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspec-
tos de la administración de riesgos cuantitativa han comprobado que el proceso es excesivamente
costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y
normalmente implican a muchos miembros del personal con discusiones acerca de cómo se han cal-
culado los valores fiscales específicos. En tercer lugar, en organizaciones con valores altos, el costo
de exposición puede ser tan elevado que se gastaría una ingente cantidad de dinero en mitigar los
riesgos a los que estuvieran expuestas. Pero esto no es realista, una organización no gastaría todo su
presupuesto en proteger un solo activo, ni siquiera los cinco principales.

Detalles del enfoque cuantitativo

En este punto, puede resultar útil disponer de una descripción general de las ventajas y los inconve-
nientes de las evaluaciones de riesgos cuantitativas. En el resto de esta sección se examinan algunos
de los factores y valores que normalmente se miden durante una evaluación de riesgos cuantitativa,
como la valoración de activos, el costo de los controles, la determinación del rendimiento de la in-
versión en seguridad (ROSI) y el cálculo de valores para la expectativa de pérdida simple (SLE), la fre-
cuencia anual (ARO) y la expectativa de pérdida anual (ALE). No se trata en absoluto de un examen
exhaustivo de todos los aspectos de la evaluación de riesgos cuantitativa, sino de un breve examen
de algunos detalles de dicho enfoque para que compruebe que las cifras que conforman la base de
todos los cálculos son subjetivas en sí mismas.

Valoración de activos

La determinación del valor monetario de un activo es una parte importante de la administración

de riesgos de seguridad. A menudo, los directores se basan en el valor de un activo como orienta-
ción para determinar el dinero y tiempo que deben invertir para protegerlo. Muchas organizaciones
conservan una lista de valores de los activos como parte de los planes de continuidad de negocios.
No obstante, las cifras calculadas en realidad son estimaciones subjetivas: no existe ninguna herra-
mienta o método para determinar el valor de un activo. Para asignar un valor a un activo, se deben
calcular los siguientes tres factores principales:

▪▪ El valor global del activo en la organización. Calcular o estimar el valor del activo en términos
financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la
interrupción temporal de un sitio web de comercio electrónico, que normalmente funciona
siete días a la semana, 24 horas al día y que genera un promedio de 2.000 dólares por hora
en ingresos procedentes de los pedidos de los clientes. Puede establecer con seguridad que
el valor anual del sitio web en términos de ingresos por ventas es de 17.520.000 dólares.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 9

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

▪▪ La repercusión financiera inmediata de la pérdida del activo. Si simplificamos

deliberadamente el ejemplo anterior y suponemos que el sitio web genera una tasa
constante por hora y el mismo sitio web deja de estar disponible durante seis horas, la
exposición calculada es de un 0,000685% por año. Al multiplicar este porcentaje de
exposición por el valor anual del activo, podrá predecir que las pérdidas directamente
atribuibles en este caso serían de 12.000 dólares. En realidad, la mayoría de los sitios web
de comercio electrónico generan ingresos con unas tasas muy distintas según la hora del
día, el día de la semana, la estación, las campañas de publicidad y otros factores. Además,
algunos clientes pueden encontrar un sitio web alternativo al original, por lo que dicho sitio
web puede tener una pérdida de usuarios permanente. En realidad, calcular la pérdida de
ingresos resulta bastante complejo si se quiere ser preciso y tener en cuenta todos los tipos
posibles de pérdida.
▪▪ La repercusión de negocios indirecta de la pérdida del activo. En este ejemplo, la empresa
estima que gastará 10.000 dólares en publicidad para contrarrestar la propaganda negativa
de una incidencia. Asimismo, la empresa también estima una pérdida de un 0,01% a un 1%
de ventas anuales, o 17.520 dólares. Mediante la combinación de los gastos de publicidad
adicionales y de la pérdida ingresos por ventas anuales, en este caso se puede predecir un
total de 27.520 dólares en pérdidas indirectas.

Determinación de la expectativa de pérdida simple

La expectativa de pérdida simple es la cantidad total de ingresos que se pierde por una única inci-
dencia del riesgo. Se trata de un importe monetario que se asigna a un único suceso que representa
la cantidad de pérdida potencial de la empresa, en caso de que una amenaza específica aproveche
una vulnerabilidad (la expectativa de pérdida simple es similar a la repercusión de un análisis de
riesgos cualitativo). Calcule dicha expectativa multiplicando el valor del activo por el factor de expo-
sición. Dicho factor representa el porcentaje de pérdida que una amenaza realizada podría suponer
para un determinado activo. Si un conjunto de servidores web tiene un valor de activo de 150.000

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 10

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

dólares y un incendio provoca daños estimados en el 25% de su valor, en este caso la expectativa de
pérdida simple será de 37.500 dólares. No obstante se trata de un ejemplo muy simplificado, ya que
es necesario tener en cuenta otros gastos.

Determinación de la frecuencia anual

La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el
año. La elaboración de estas estimaciones resulta muy difícil; existen muy pocos datos actuariales
disponibles. Lo que se ha recopilado hasta ahora parece ser información privada, que poseen unas
pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias
anteriores y consulte a expertos en administración de riesgos, además de consultores de negocios y
de seguridad. La frecuencia anual es similar a la probabilidad de un análisis de riesgos cualitativo y
va del 0% (nunca) al 100% (siempre).

Determinación de la expectativa de pérdida anual

La expectativa de pérdida anual es la cantidad total de dinero que la organización perderá en un año
si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de
pérdida simple por la frecuencia anual. La expectativa de pérdida anual es similar al intervalo relati-
vo de un análisis de riesgo cualitativo.

Por ejemplo, si un incendio en el conjunto de servidores web de la misma empresa provoca daños
valorados en 37.500 dólares y la probabilidad, o frecuencia anual, de que se produzca un incendio
tiene un valor 0,1 (lo que indica una vez cada diez años), en este caso el valor de frecuencia anual
sería 3.750 dólares (37.500 x 0,1 = 3.750).

La expectativa de pérdida anual proporciona un valor con el que la organización puede trabajar para
presupuestar cuánto costará establecer controles o protecciones para prevenir este tipo de daño (en
este caso, 3.750 dólares o menos al año) y brindar un nivel adecuado de protección. Es importante
cuantificar la posibilidad real de un riesgo y el daño, en términos monetarios, que puede causar la
amenaza para determinar la cantidad que se puede destinar en la protección contra la posible con-
secuencia de la amenaza.

Determinación del costo de los controles

Determinar el costo de los controles requiere estimaciones precisas de cuánto costará adquirir, pro-
bar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir
la compra o desarrollo de la solución de control, la implementación y configuración de la solución
de control, el mantenimiento de la misma, la notificación de nuevas directivas o procedimientos
relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de
cómo utilizar y dar soporte al control, supervisarlo y combatir la pérdida de comodidad o produc-

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 11

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

tividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio dañe
el conjunto de servidores web, la organización ficticia puede implementar un sistema de extinción
de incendios automatizado. Será necesario requerir los servicios de un contratista para que diseñe
e instale el sistema y, después, se tiene que supervisar continuamente. También será necesario
comprobar el sistema periódicamente y, en ocasiones, recargarlo con los retardantes químicos que
utilice.
Rendimiento de la inversión en seguridad

Estime el costo de los controles mediante la siguiente ecuación:

(expectativa de pérdida anual antes del control) – (expectativa de pérdida anual después del

control) – (costo anual del control) = rendimiento de la inversión en seguridad.

Por ejemplo, la expectativa de pérdida anual de la amenaza otorgada por un pirata informático que
inutilice un servidor web es de 12.000 dólares, y después de implementar la protección sugerida se
valora en 3.000 dólares. El costo anual del mantenimiento de la protección es de 650 dólares, por lo
que el rendimiento de la inversión en seguridad es de 8.350 dólares al año, tal como se expresa en
la siguiente ecuación: 12.000 - 3.000 - 650 = 8.350.

Resultados de los análisis de riesgos cuantitativos

Los elementos de entrada de los análisis de riesgos cuantitativos proporcionan objetivos y resulta-
dos claramente definidos. Los siguientes elementos normalmente se derivan de los resultados de
los pasos anteriores:

▪▪ Valores monetarios asignados de los activos.

▪▪ Una lista completa de amenazas importantes.
▪▪ La probabilidad de que cada amenaza ocurra.
▪▪ El potencial de pérdida para la empresa, por amenaza, cada 12 meses.
▪▪ Protecciones, controles y acciones recomendados.

Ha podido comprobar que todos estos cálculos se basan en estimaciones subjetivas. Las cifras clave
que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos
actuariales bien definidos, sino de las opiniones de aquellos que realizan la evaluación. El valor del
activo, la expectativa de pérdida simple, la frecuencia anual y el costo de los controles son cifras
que incorporan los propios participantes (normalmente después de mucho debate y compromiso).

Evaluación de riesgos cualitativa

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 12

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

La diferencia entre la evaluación de riesgos cualitativa y la cuantitativa estriba en que en la primera

no se intentan aplicar valores financieros puros a los activos, pérdidas previstas y costo de controles.
En su lugar se calculan valores relativos. El análisis de riesgos normalmente se lleva a cabo mediante
la combinación de cuestionarios y talleres colaborativos que implican a personas de varios grupos
de la organización, como expertos en seguridad de información, responsables y personal de tecno-
logía de la información, responsables y usuarios de activos de negocios y directivos. Si se utilizan, los
cuestionarios normalmente se distribuyen unos días, o unas semanas, antes del primer taller. Los
cuestionarios están diseñados para descubrir los activos y controles que ya están implementados,
y la información recopilada puede resultar muy útil durante los talleres posteriores. En los talleres,
los participantes identifican los activos y estiman sus valores relativos. A continuación, intentan de-
terminar las amenazas a las que se enfrenta cada activo y los tipos de vulnerabilidades que pueden
aprovechar dichas amenazas en el futuro. Los expertos en seguridad de información y los adminis-
tradores del sistema normalmente proponen controles con el fin de mitigar los riesgos para el grupo
en consideración y el costo aproximado de cada control. Finalmente, los resultados se presentan a
los directivos para que los tengan en cuenta durante un análisis de costo-beneficio.

Como se puede comprobar, el proceso básico de las evaluaciones cualitativas es muy similar a lo que
sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las comparaciones
entre el valor de un activo y otro son relativas, y los participantes no dedican demasiado tiempo en
intentar calcular cifras financieras exactas para la valoración de activos. Lo mismo sucede en el cálcu-
lo de las repercusiones posibles si se produce un riesgo y el costo de la implementación de controles.
Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras exac-
tas para el valor de activos, costo de control, etc, y el proceso exige menos personal. Los proyectos
de administración de riesgos cualitativa normalmente empiezan a arrojar resultados importantes al
cabo de pocas semanas, mientras que en las organizaciones que optan por un enfoque cuantitativo
se aprecian pocas ventajas durante meses y, en ocasiones, años de esfuerzos. El inconveniente de
un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos de los responsables
de la toma de decisiones, en concreto los que disponen de experiencia en cuestiones financieras o
contables, pueden no sentirse cómodos con los valores relativos determinados durante un proyecto
de evaluación de riesgos cualitativa.

Comparación de los dos enfoques

Los enfoques cualitativo y cuantitativo de la administración de riesgos de seguridad tienen sus ven-
tajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adop-
ten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeño tamaño o con recursos
limitados normalmente encontrarán más adecuado el enfoque cualitativo. En la siguiente tabla se
resumen las ventajas y los inconvenientes de cada enfoque:

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 13

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

> Tabla 2.1: Ventajas e inconvenientes de cada enfoque de administración de riesgos

Cuantitativo Cualitativo

Ventajas ▪▪ Se asignan prioridades a los riesgos según las
repercusiones financieras; se asignan priorida-
des de los activos según los valores financieros.
▪▪ Los resultados facilitan la administración del
riesgo por el rendimiento de la inversión en
seguridad.
▪▪ Los resultados se pueden expresar en termino-
logía específica de administración (por ejem-
plo: los valores monetarios y la probabilidad,
expresados como un porcentaje específico).
▪▪ La precisión tiende a ser mayor con el tiempo
a medida que la organización crea un registro
de historial de los datos mientras gana expe-
riencia.
▪▪ Permite la visibilidad y la comprensión de la
clasificación de riesgos.
▪▪ Resulta más fácil lograr el consenso.
▪▪ No es necesario cuantificar la frecuencia de las
amenazas.
▪▪ No es necesario determinar los valores finan-
cieros de los activos.
▪▪ Resulta más fácil involucrar a personas que no
sean expertas en seguridad o en informática.

Cuantitativo Cualitativo

Inconvenientes ▪▪ Los valores de repercusión asignados a los ries-
gos se basan en las opiniones subjetivas de los
participantes.
▪▪ El proceso para lograr resultados creíbles y el
consenso es muy lento.
▪▪ Los cálculos pueden ser complejos y lentos.
▪▪ Los resultados solo se presentan en términos
monetarios y pueden ser difíciles de interpre-
tar por parte de personas sin conocimientos
técnicos.
▪▪ El proceso requiere experiencia, por lo que los
participantes no pueden recibir cursos fácil-
mente durante el mismo.
▪▪ No hay una distinción suficiente entre los ries-
gos importantes.
▪▪ Resulta difícil invertir en la implementación de
controles porque no existe una base para un
análisis de costo-beneficio.
▪▪ Los resultados dependen de la calidad del
equipo de administración de riesgos que los
hayan creado.

En el pasado, los enfoques cuantitativos parecían dominar la administración de riesgos de seguri-

dad; sin embargo, esto ha cambiado recientemente, a medida que cada vez más especialistas admi-
ten que el seguimiento estricto de los procesos de administración de riesgos cuantitativa da lugar a
proyectos difíciles y de larga duración, que muestran pocas ventajas tangibles. Como se verá en los
capítulos posteriores, el proceso de administración de riesgos de seguridad de Microsoft combina
los mejores aspectos de ambas metodologías en un único proyecto híbrido.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 14

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Proceso de administración de riesgos de seguridad de Mi-

crosoft

El proceso de administración de riesgos de seguridad de Microsoft es un enfoque híbrido que com-

bina los mejores elementos de los dos enfoques tradicionales. Como se verá en los capítulos siguien-
tes, en esta guía se presenta un enfoque único de la administración de riesgos de seguridad, que es
considerablemente más rápido que un enfoque cuantitativo tradicional. Sin embargo, proporciona
resultados que son más detallados y fácilmente justificables a los ejecutivos que un enfoque cuali-
tativo típico. Mediante la combinación de la simplicidad y la elegancia del enfoque cualitativo con
parte del rigor del enfoque cuantitativo, en esta guía se ofrece un proceso único para administrar
los riesgos de seguridad que es eficaz y útil. El objetivo del proceso, es que los participantes puedan
comprender cada paso de la evaluación. Este enfoque, considerablemente más simple que la admi-
nistración de riesgos cuantitativa tradicional, minimiza la oposición a los resultados de las fases de
análisis de riesgos y de apoyo a la toma de decisiones, permitiendo que se logre el consenso más
rápidamente y se mantenga en todo el proceso.

El proceso de administración de riesgos de seguridad de Microsoft consta de cuatro fases. La prime-

ra, la fase de evaluación de riesgos, combina aspectos de las metodologías de evaluación de riesgos
cuantitativa y cualitativa. Se utiliza un enfoque cualitativo para clasificar rápidamente toda la lista de
riesgos de seguridad. A continuación, los riesgos más graves identificados durante esta clasificación
se examinan más detenidamente mediante un enfoque cuantitativo. El resultado es una lista relati-
vamente corta de los riesgos más importantes que se han examinado con detalle.

Esta lista breve se utiliza durante la siguiente fase, apoyo a la toma de decisiones, en la que se pro-
pone las soluciones de control posibles y se evalúan las mejores, que posteriormente se presentan
al comité directivo de seguridad de la organización como recomendaciones para mitigar los riesgos
principales. Durante la tercera fase, implementación de controles, los responsables de mitigación
implementan realmente las soluciones de control. La cuarta fase, medición de la efectividad del
programa, se utiliza para comprobar que los controles proporcionan el nivel de protección previsto
y para examinar los cambios en el entorno, como nuevas aplicaciones de negocios o herramientas
de ataque que puedan cambiar el perfil de riesgo de la organización.

Debido a que el proceso de administración de riesgos de seguridad de Microsoft es continuo, el ciclo

vuelve a comenzar con cada nueva evaluación de riesgos. La frecuencia con la que se repita el ciclo
varía de una organización a otra; muchas consideran que una vez al año es suficiente siempre que la
organización supervise proactivamente las nuevas vulnerabilidades, amenazas y activos.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 15

TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN I

Meidición de la
Evaluación
efectividad del
del riesgo
programa

Apoyo a la
Implementación
toma de
de controles
desiciones

En la figura 2.2 se ilustran las cuatro fases del proceso de administración de riesgos de seguridad de
Microsoft. En el capítulo 3, “Información general acerca de la administración de riesgos de seguri-
dad”, se ofrece un examen exhaustivo del proceso. En los capítulos posteriores se explican los pasos
y las tareas asociados a cada una de las cuatro fases.

Unidad 2: Análisis y gestión de riesgos - Material de profundización 2 16