Nistspecialpublication800-39 Af Es

Traducido del afrikáans al español - www.onlinedoctranslator.
com
Publicación especial NIST 800-39

Gestión de la información
Riesgo de seguridad
Vista de organización, misión y sistema de

información
GRUPO DE TRABAJO CONJUNTO

INICIATIVA DE TRANSFORMACIÓN
INFORMACIÓN SEGURIDAD
División de Seguridad Informática Laboratorio de

Tecnología de la Información Instituto Nacional de
Estándares y Tecnología Gaithersburg, MD 20899-8930
marzo de 2011
Departamento de Comercio de EE.

UU. Gary Locke, secretario
Instituto Nacional de Normas y Tecnología

Patrick D. Gallagher, Director
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Informes sobre Tecnología de Sistemas Informáticos
El Laboratorio de Tecnología de la Información (ITL) del Instituto Nacional de Estándares y Tecnología (NIST)
promueve la economía y el bienestar público de EE. UU. proporcionando liderazgo técnico para la
infraestructura de medición y estándares del país. ITL desarrolla pruebas, métodos de prueba, datos de
referencia, implementaciones de prueba de concepto y análisis técnicos para avanzar en el desarrollo y el
uso productivo de la tecnología de la información. Las responsabilidades de ITL incluyen el desarrollo de
normas y pautas de gestión, administrativas, técnicas y físicas para la seguridad y privacidad rentables de
información distinta a la relacionada con la seguridad nacional en los sistemas de información federales. La
serie de publicaciones especiales 800 informa sobre la investigación, las pautas y los esfuerzos de
divulgación de ITL en seguridad de sistemas de información y sus actividades de colaboración con la
industria,
PÁGINA ii
____________________________________________________________________________________________________________________
Autoridad
Esta publicación ha sido desarrollada por NIST para promover sus responsabilidades estatutarias bajo la Ley
Federal de Administración de Seguridad de la Información (FISMA), Ley Pública (PL) 107-347. NIST es responsable
de desarrollar estándares y pautas de seguridad de la información, incluidos los requisitos mínimos para los
sistemas de información federales, pero dichos estándares y pautas no se aplicarán a los sistemas de seguridad
nacional sin la aprobación expresa de los funcionarios federales apropiados que ejercen la autoridad política sobre
dichos sistemas. Esta guía es consistente con los requisitos de la Circular A-130 de la Oficina de Administración y
Presupuesto (OMB), Sección 8b (3),Asegurar los sistemas de información de la agencia, tal como se analiza en la
Circular A-130, Anexo IV:Análisis de secciones clave. Se proporciona información complementaria en la Circular
A-130, Apéndice III,Seguridad de los recursos de información automatizados federales.
Nada de lo contenido en esta publicación debe interpretarse como contradictorio con las normas y pautas que el
Secretario de Comercio hizo obligatorias y vinculantes para las agencias federales en virtud de la autoridad
legal. Estas pautas tampoco deben interpretarse como que alteran o reemplazan las autoridades existentes del
Secretario de Comercio, el Director de la OMB o cualquier otro funcionario federal. Esta publicación puede ser
utilizada por organizaciones no gubernamentales de forma voluntaria y no está sujeta a derechos de autor en
los Estados Unidos. Sin embargo, el NIST agradecería la atribución.
Publicación especial NIST 800-39, 88 páginas
(marzo de 2011)
Ciertas entidades comerciales, equipos o materiales pueden identificarse en este documento para describir
adecuadamente un procedimiento o concepto experimental. Dicha identificación no pretende implicar
recomendación o respaldo por parte del NIST, ni pretende implicar que las entidades, materiales o equipos sean
necesariamente los mejores disponibles para el propósito.
Puede haber referencias en esta publicación a otras publicaciones actualmente en desarrollo por parte del NIST de acuerdo
con sus responsabilidades estatutarias asignadas. Las agencias federales pueden utilizar la información de esta publicación,
incluidos los conceptos y las metodologías, incluso antes de que se completen dichas publicaciones complementarias. Por lo
tanto, hasta que se complete cada publicación, los requisitos, lineamientos y procedimientos actuales, donde existan,
permanecerán operativos. Con fines de planificación y transición, es posible que las agencias federales deseen seguir de cerca
el desarrollo de estas nuevas publicaciones por parte del NIST.
Se alienta a las organizaciones a revisar todos los borradores de las publicaciones durante los períodos de comentarios públicos y
proporcionar comentarios al NIST. Todas las publicaciones del NIST, además de las mencionadas anteriormente, están disponibles en http://
csrc.nist.gov/publications.
Instituto Nacional de Normas y Tecnología

A la atención de: División de Seguridad Informática, Laboratorio de Tecnología de la Información
100 Bureau Drive (parada de correo 8930) Gaithersburg, MD 20899-8930
Correo electrónico: sec-cert@nist.gov
PÁGINA iii
____________________________________________________________________________________________________________________
Cumplimiento de las normas y directrices del NIST
De conformidad con lo dispuesto en FISMA,1el Secretario de Comercio deberá, sobre la base de las normas y
directrices desarrolladas por el NIST, prescribir normas y directrices relacionadas con los sistemas de información
federales. El Secretario establecerá normas obligatorias y vinculantes en la medida que el Secretario determine
necesarias para mejorar la eficiencia de operación o seguridad de los sistemas de información federales. Los
estándares prescritos incluirán estándares de seguridad de la información que proporcionen requisitos mínimos
de seguridad de la información y que sean necesarios para mejorar la seguridad de la información federal y los
sistemas de información.
• Los Estándares Federales de Procesamiento de Información (FIPS) están aprobados por el Secretario
de Comercio y emitidos por NIST de acuerdo con FISMA. Los FIPS son obligatorios y vinculantes para
las agencias federales.2FISMA requiere que las agencias federales cumplan con estos estándares y,
por lo tanto, las agencias no pueden renunciar a su uso.
• Las publicaciones especiales (SP) son desarrolladas y emitidas por el NIST como recomendaciones y documentos
de orientación. Para otros programas y sistemas de seguridad nacional, las agencias federales deben seguir las
Publicaciones Especiales del NIST exigidas en un Estándar Federal de Procesamiento de Información. FIPS 200
ordena el uso de la Publicación Especial 800-53, enmendada. Además, las políticas de la OMB (incluidas las
Instrucciones de informes de la OMB para FISMA y la Gestión de la privacidad de la agencia) establecen que,
aparte de los programas y sistemas de seguridad nacional, las agencias federales deben seguir ciertas
Publicaciones especiales específicas del NIST.3
• Otras publicaciones relacionadas con la seguridad, incluidos los informes interinstitucionales (NISTIR) y los
boletines ITL, brindan información técnica y de otro tipo sobre las actividades del NIST. Estas publicaciones
son obligatorias solo cuando lo especifica la OMB.
• La OMB establece los cronogramas de cumplimiento de las normas y pautas de seguridad del
NIST en políticas, directivas o memorandos (p. ej., la guía de informes FISMA anual).4
1La Ley de Gobierno Electrónico (PL 107-347) reconoce la importancia de la seguridad de la información para los intereses económicos y de seguridad
nacional de los Estados Unidos. El Título III de la Ley de Gobierno Electrónico, denominada Ley Federal de Gestión de la Seguridad de la Información
(FISMA), enfatiza la necesidad de que las organizaciones desarrollen, documenten e implementen un programa para toda la organización para
brindar seguridad a los sistemas de información que respaldan sus operaciones y activos. .
2El terminoagenciase utiliza en esta publicación en lugar del término más generalorganizaciónsolo en aquellas circunstancias en las que su
uso está directamente relacionado con otros documentos fuente, como la legislación o la política federal.
3Si bien las agencias federales están obligadas a seguir ciertas publicaciones especiales específicas del NIST de acuerdo con la política de la
OMB, existe flexibilidad en la forma en que las agencias aplican la guía. Las agencias federales aplican los conceptos y principios de
seguridad articulados en las Publicaciones Especiales del NIST de acuerdo con y en el contexto de las misiones, funciones comerciales y
entorno de operación de la agencia. En consecuencia, la aplicación de la guía NIST por parte de las agencias federales puede dar como
resultado diferentes soluciones de seguridad que son igualmente aceptables, cumplen con la guía y cumplen con la definición de OMB de
seguridad adecuadapara los sistemas de información federales. Dada la alta prioridad del intercambio de información y la transparencia
dentro del gobierno federal, las agencias también consideran la reciprocidad al desarrollar sus soluciones de seguridad de la información. Al
evaluar el cumplimiento de la agencia federal con las publicaciones especiales del NIST, los inspectores generales, los evaluadores, los
auditores y los asesores consideran la intención de los conceptos y principios de seguridad articulados en el documento de guía específico y
cómo la agencia aplicó la guía en el contexto de su misión/responsabilidades comerciales. , entorno operativo y condiciones organizativas
únicas.
4A menos que se indique lo contrario, todas las referencias a publicaciones del NIST en este documento (es decir, Estándares Federales de
Procesamiento de Información y Publicaciones Especiales) se refieren a la versión más reciente de la publicación.
PÁGINA IV
____________________________________________________________________________________________________________________
Expresiones de gratitud
Esta publicación fue desarrollada por elIniciativa de Transformación de la Fuerza de Tarea ConjuntaGrupo
de trabajo interinstitucional con representantes de las comunidades civil, de defensa y de inteligencia en un
esfuerzo continuo por producir un marco de seguridad de la información unificado para el gobierno federal.
El Instituto Nacional de Estándares y Tecnología desea reconocer y agradecer a los líderes principales de los
Departamentos de Comercio y Defensa, la Oficina del Director de Inteligencia Nacional, el Comité de
Sistemas de Seguridad Nacional y los miembros del grupo de trabajo técnico interinstitucional cuyo
dedicado esfuerzos contribuyeron significativamente a la publicación. Los líderes sénior, los miembros del
grupo de trabajo interinstitucional y sus afiliaciones organizacionales incluyen:
Departamento de Defensa de EE. UU. Oficina del Director de Inteligencia Nacional

Teresa M Takai Adolfo Tarasiuk Jr.
Subsecretario de Defensa para Integración de Redes e Subdirector de Inteligencia Nacional y Director
Información / Director de Información del Departamento de de Información de la Comunidad de Inteligencia
Defensa (interino)
Gus Guissanie Charlene P. Leubecker

Subsecretario adjunto de Defensa (interino) Subdirector de información de la
comunidad de inteligencia
Dominic Cussatt marca j. morrison

Asesor sénior de políticas Director, Aseguramiento de la Información de la Comunidad de
Inteligencia
Bárbara Fleming roger caslow

Asesor sénior de políticas Jefe, División de Programas de Gestión de
Riesgos y Seguridad de la Información
Instituto Nacional de Normas y Tecnología Comité de Sistemas de Seguridad Nacional

Cita M. Furlani Teresa M Takai
Director, Laboratorio de Tecnologías de la Información Presidente Interino, CNSS
Guillermo C. Barker Eustaquio D. King

Asesor de Seguridad Cibernética, Laboratorio de Tecnologías de la Información Copresidente del Subcomité CNSS
Donna Dodson Pedro Gouldmann

Jefe, División de Seguridad Informática Copresidente del Subcomité CNSS
RonRoss Lanza Dubsky

Líder de proyecto de implementación de FISMA Copresidente del Subcomité CNSS
Grupo de Trabajo Interinstitucional de la Iniciativa de Transformación de la Fuerza de Tarea Conjunta
RonRoss Gary Quemador de Piedras Jennifer Fabius-Greene kelley dempsey

NIST, líder de la JTF Johns Hopkins APL La Corporación MITRE NIST
Débora Bodeau cheri caddy Pedro Gouldmann arnold johnson
La Corporación MITRE Comunidad de inteligencia Departamento de Estado NIST
pedro williams Karen Quigg Richard Graubart Christian Enloe
booz allen hamilton La Corporación MITRE La Corporación MITRE NIST
Además de los reconocimientos anteriores, una nota especial de agradecimiento va para Peggy Himes
y Elizabeth Lennon por su excelente edición técnica y apoyo administrativo y para Bennett Hodge,
Cassandra Kelly, Marshall Abrams, Marianne Swanson, Patricia Toth, Kevin Stine y Matt Scholl. por sus
valiosas ideas y contribuciones. Los autores también reconocen y aprecian con gratitud las
contribuciones significativas de personas y organizaciones de los sectores público y privado, tanto a
nivel nacional como internacional, cuyos comentarios reflexivos y constructivos mejoraron la calidad
general, la exhaustividad y la utilidad de esta publicación.
PAGINA v
____________________________________________________________________________________________________________________
DESARROLLO DE FUNDAMENTOS COMUNES DE SEGURIDAD DE LA INFORMACIÓN
COLABORACIÓN ENTRE ENTIDADES DEL SECTOR PÚBLICO Y PRIVADO
Al desarrollar los estándares y lineamientos requeridos por FISMA, el NIST consulta con otras agencias y oficinas federales, así como con el sector privado, para mejorar la seguridad de la
información, evitar la duplicación innecesaria y costosa de esfuerzos y garantizar que las publicaciones del NIST sean complementarias a los estándares y lineamientos empleados para la
protección de los sistemas de seguridad nacional. Además de su exhaustivo proceso de investigación y revisión pública, el NIST está colaborando con la Oficina del Director de Inteligencia Nacional
(ODNI), el Departamento de Defensa (DoD) y el Comité de Sistemas de Seguridad Nacional (CNSS) para establecer una base común para la seguridad de la información en todo el gobierno federal.
Una base común para la seguridad de la información proporcionará a los sectores de inteligencia, defensa y civil del gobierno federal y sus contratistas, formas más uniformes y consistentes de
administrar el riesgo para las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación que resulta de la operación y uso de los sistemas de información. Una base común
para la seguridad de la información también proporcionará una base sólida para la aceptación recíproca de los resultados de la evaluación de la seguridad y facilitará el intercambio de información.
NIST también está trabajando con entidades del sector público y privado para establecer mapeos y relaciones entre los estándares de seguridad y las pautas desarrolladas por NIST y la
Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Una base común para la seguridad de la información también proporcionará una base sólida
para la aceptación recíproca de los resultados de la evaluación de la seguridad y facilitará el intercambio de información. NIST también está trabajando con entidades del sector público y privado
para establecer mapeos y relaciones entre los estándares de seguridad y las pautas desarrolladas por NIST y la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica
Internacional (IEC). Una base común para la seguridad de la información también proporcionará una base sólida para la aceptación recíproca de los resultados de la evaluación de la seguridad y
facilitará el intercambio de información. NIST también está trabajando con entidades del sector público y privado para establecer mapeos y relaciones entre los estándares de seguridad y las
pautas desarrolladas por NIST y la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
PÁGINA vi
____________________________________________________________________________________________________________________
NOTA DE PRECAUCIÓN
ALCANCE PREVISTO Y USO DE ESTA PUBLICACIÓN
La orientación proporcionada en esta publicación tiene por objeto abordarsolola gestión del riesgo relacionado con
la seguridad de la información derivado o asociado con la operación y el uso de los sistemas de información o los
entornos en los que operan esos sistemas. la guia esnodestinados a reemplazar o subsumir otras actividades,
programas, procesos o enfoques relacionados con el riesgo que las organizaciones han implementado o tienen la
intención de implementar para abordar áreas de gestión de riesgos cubiertas por otra legislación, directivas,
políticas, iniciativas programáticas o requisitos de misión/negocio. Más bien, la guía de gestión de riesgos de
seguridad de la información descrita en este documento es complementaria y debe utilizarse como parte de un
programa de gestión de riesgos empresariales (ERM) más completo.
PÁGINA vii
____________________________________________________________________________________________________________________
Tabla de contenido
CAPÍTULO UNOINTRODUCCIÓN.................................................... .......................................... 1

1.1PROPÓSITO Y APLICABILIDAD.................................................... .......................................... 3
1.2PÚBLICO OBJETIVO.................................................... .................................................... ............. 3
1.3PUBLICACIONES RELACIONADAS.................................................... .................................................... ...... 4
1.4ORGANIZACIÓN DE ESTA PUBLICACIÓN ESPECIAL.................................................... ........................ 5
CAPITULO DOSLOS FUNDAMENTOS.................................................... ............................. 6
2.1COMPONENTES DE LA GESTIÓN DE RIESGOS.................................................... .................................. 6
2.2GESTIÓN DE RIESGOS EN MÚLTIPLES NIVELES.................................................... .......................................... 9
2.3NIVEL UNO-VISTA DE LA ORGANIZACIÓN.................................................... .......................................... 11
2.4NIVEL DOS-MISIÓN/VISTA DEL PROCESO DE NEGOCIO.................................................... ..................... 17
2.5NIVEL TRES-VISTA DE SISTEMAS DE INFORMACIÓN.................................................... ......................... 21
2.6CONFIANZA Y CONFIANZA.................................................... .......................................... 23
2.7CULTURA ORGANIZACIONAL.................................................... ............................................. 28
2.8RELACIÓN ENTRE CONCEPTOS CLAVE DE RIESGO.................................................... ......................... 29
CAPÍTULO TRESEL PROCESO.................................................... ...................................... 32
3.1RIESGO DE ENCUADRE.................................................... .................................................... .................... 33
3.2EVALUACIÓN DEL RIESGO.................................................... .................................................... ............... 37
3.3RESPONDIENDO AL RIESGO.................................................... .................................................... ....... 41
3.4SEGUIMIENTO DE RIESGOS.................................................... .................................................... ............. 45
APÉNDICE A REFERENCIAS.................................................... ............................................. A-1
APÉNDICE B GLOSARIO.................................................... ............................................. B-1
APÉNDICE C ACRÓNIMOS.................................................... .......................................... C-1
APÉNDICE D FUNCIONES Y RESPONSABILIDADES.................................................... ...................D-1
APÉNDICE E TAREAS DEL PROCESO DE GESTIÓN DE RIESGOS.................................................... ......... E-1
APÉNDICE F MODELOS DE GOBERNANZA.................................................... ............................... F-1
APÉNDICE G MODELOS DE CONFIANZA.................................................... .......................................... G-1
APÉNDICE H ESTRATEGIAS DE RESPUESTA AL RIESGO.................................................... .................. H-1
PÁGINA viii
____________________________________________________________________________________________________________________
Prólogo
“...A través del proceso de gestión de riesgos, los líderes deben considerar el riesgo para los intereses de los EE. UU. de
los adversarios que usan el ciberespacio para su beneficio y de nuestros propios esfuerzos para emplear la naturaleza
global del ciberespacio para lograr objetivos en operaciones militares, de inteligencia y comerciales...”
“... Para el desarrollo de planes operativos, se debe evaluar la combinación de amenazas, vulnerabilidades e
impactos para identificar tendencias importantes y decidir dónde se debe aplicar el esfuerzo para eliminar o
reducir las capacidades de amenaza; eliminar o reducir vulnerabilidades; y evaluar, coordinar y eliminar conflictos
de todas las operaciones del ciberespacio...”
“... Los líderes en todos los niveles son responsables de garantizar la preparación y la seguridad en la misma medida que en
cualquier otro dominio ...”
- - TTENERAACIONALSESTRATEGIA PARACYBERSPACEOPERACIONES
OOFICINA DE LACPELUQUERO, jPUNTOCHIEFS OSTAFF, DÓLAR ESTADOUNIDENSEAPARTAMENTO DEDEFECTO
PÁGINA ix
____________________________________________________________________________________________________________________
CAPÍTULO UNO
INTRODUCCIÓN
LA NECESIDAD DE UNA GESTIÓN DE RIESGOS INTEGRADA EN TODA LA ORGANIZACIÓN
I La tecnología de la información es ampliamente reconocida como el motor que impulsa la economía de

los EE. UU., brindando a la industria una ventaja competitiva en los mercados globales, permitiendo que
el gobierno federal brinde mejores servicios a sus ciudadanos y facilitando una mayor productividad
como nación. Organizaciones5en los sectores público y privado dependen de tecnologías intensivassistemas
de información6para llevar a cabo con éxito sus misiones y funciones comerciales. Los sistemas de
información pueden incluir varias entidades que van desde supercomputadoras de alta gama, estaciones de
trabajo, computadoras personales, teléfonos celulares y asistentes digitales personales hasta sistemas
altamente especializados (p. ej., sistemas de armas, sistemas de telecomunicaciones, sistemas de control
industrial/de procesos y sistemas de control ambiental). Los sistemas de información están sujetos a graves
amenazasque pueden tener efectos adversos en las operaciones de la organización (es decir, misiones,
funciones, imagen o reputación), activos de la organización, individuos, otras organizaciones y la Nación al
explotar vulnerabilidades conocidas y desconocidas para comprometer la confidencialidad, integridad o
disponibilidad de la información procesada, almacenada o transmitida por esos sistemas. Las amenazas a la
información y los sistemas de información pueden incluir ataques intencionados, perturbaciones
ambientales y errores humanos/máquinas y causar un gran daño a los intereses de seguridad económica y
nacional de los Estados Unidos. Por lo tanto, es imperativo que los líderes y gerentes en todos los niveles
entiendan sus responsabilidades y sean responsables de administrar el riesgo de seguridad de la
información, es decir,
El riesgo organizacional puede incluir muchos tipos de riesgo (p. ej., riesgo de gestión de programas, riesgo de inversión, riesgo presupuestario, riesgo de responsabilidad legal, riesgo de seguridad,
riesgo de inventario, riesgo de cadena de suministro y riesgo de seguridad). El riesgo de seguridad relacionado con la operación y el uso de los sistemas de información es solo uno de los muchos
componentes del riesgo organizacional que los líderes/ejecutivos senior abordan como parte de sus responsabilidades continuas de gestión de riesgos. La gestión de riesgos efectiva requiere que las
organizaciones operen en entornos altamente complejos e interconectados utilizando sistemas de información heredados y de última generación, sistemas de los que las organizaciones dependen para
cumplir sus misiones y realizar funciones importantes relacionadas con el negocio. Los líderes deben reconocer que explícitamente, Las decisiones bien informadas basadas en el riesgo son necesarias
para equilibrar los beneficios obtenidos de la operación y el uso de estos sistemas de información con el riesgo de que los mismos sistemas sean vehículos a través de los cuales los ataques
intencionados, las interrupciones ambientales o los errores humanos provoquen el fracaso de la misión o del negocio. . La gestión de riesgos de seguridad de la información, como la gestión de riesgos
en general, no es una ciencia exacta. Reúne los mejores juicios colectivos de individuos y grupos dentro de las organizaciones responsables de la planificación estratégica, la supervisión, la gestión y las
operaciones diarias, proporcionando las medidas de respuesta a los riesgos necesarias y suficientes para proteger adecuadamente las misiones y funciones comerciales de esas organizaciones. . las
interrupciones ambientales o los errores humanos provocan el fracaso de la misión o del negocio. La gestión de riesgos de seguridad de la información, como la gestión de riesgos en general, no es una
ciencia exacta. Reúne los mejores juicios colectivos de individuos y grupos dentro de las organizaciones responsables de la planificación estratégica, la supervisión, la gestión y las operaciones diarias,
proporcionando las medidas de respuesta a los riesgos necesarias y suficientes para proteger adecuadamente las misiones y funciones comerciales de esas organizaciones. . las interrupciones
ambientales o los errores humanos provocan el fracaso de la misión o del negocio. La gestión de riesgos de seguridad de la información, como la gestión de riesgos en general, no es una ciencia exacta.
Reúne los mejores juicios colectivos de individuos y grupos dentro de las organizaciones responsables de la planificación estratégica, la supervisión, la gestión y las operaciones diarias, proporcionando
las medidas de respuesta a los riesgos necesarias y suficientes para proteger adecuadamente las misiones y funciones comerciales de esas organizaciones. .
5El terminoorganizacióndescribe una entidad de cualquier tamaño, complejidad o posición dentro de una estructura organizativa (p. ej.,
una agencia federal o, según corresponda, cualquiera de sus elementos operativos) que se encarga de llevar a cabo la misión o los
procesos comerciales asignados y que utiliza sistemas de información como apoyo de esos procesos.
6Unsistema de informaciones un conjunto discreto de recursos de información organizados para la recopilación, el procesamiento, el
mantenimiento, el uso, el intercambio, la difusión o la disposición de la información. En el contexto de esta publicación, la definición incluye el
entorno en el que opera el sistema de información (es decir, personas, procesos, tecnologías, instalaciones y ciberespacio).
CAPÍTULO 1 PÁGINA 1
____________________________________________________________________________________________________________________
Las complejas relaciones entre misiones, misión/procesos comerciales y los sistemas de información que respaldan esas
misiones/procesos requieren una visión integrada de toda la organización para administrar el riesgo.7A menos que se
indique lo contrario, las referencias ariesgoen esta publicación se refieren al riesgo de seguridad de la información
proveniente de la operación y el uso de los sistemas de información organizacionales, incluidos los procesos,
procedimientos y estructuras dentro de las organizaciones que influyen o afectan el diseño, desarrollo, implementación y
operación continua de esos sistemas. El papel de la seguridad de la información en la gestión del riesgo de la operación y
el uso de los sistemas de información también es fundamental para el éxito de las organizaciones en el logro de sus
metas y objetivos estratégicos. Históricamente, los líderes/ejecutivos senior han tenido una visión muy estrecha de la
seguridad de la información, ya sea como un asunto técnico o como un conducto de escape que era independiente del
riesgo organizacional y los procesos tradicionales de gestión y ciclo de vida. Esta perspectiva extremadamente limitada a
menudo resultó en una consideración inadecuada de cómo el riesgo de seguridad de la información, al igual que otros
riesgos organizacionales, afecta la probabilidad de que las organizaciones lleven a cabo con éxito sus misiones y
funciones comerciales. Esta publicación ubica la seguridad de la información en el contexto organizacional más amplio
para lograr el éxito de la misión/negocio. El objetivo es:
• Asegúrese de que los líderes/ejecutivos sénior reconozcan la importancia de gestionar el riesgo de

seguridad de la información y establezcangobernanciaestructuras para gestionar dicho riesgo;
• Asegurarse de que el proceso de gestión de riesgos de la organización se lleve a cabo de manera efectiva en los tres
niveles de la organización, la misión/procesos comerciales y los sistemas de información;
• Fomentar un clima organizacional donde el riesgo de seguridad de la información se considere dentro

del contexto del diseño de la misión/procesos comerciales, la definición de una arquitectura empresarial
general y los procesos del ciclo de vida del desarrollo del sistema; y
• Ayudar a las personas con responsabilidades en la implementación u operación del sistema de información a comprender
mejor cómo el riesgo de seguridad de la información asociado con sus sistemas se traduce en un riesgo para toda la
organización que, en última instancia, puede afectar la misión o el éxito empresarial.
Para ejecutar con éxito las misiones organizacionales y las funciones comerciales con procesos dependientes del
sistema de información, los líderes/ejecutivos senior deben comprometerse a hacer de la gestión de riesgos una
misión/requisito comercial fundamental. Este compromiso ejecutivo de alto nivel garantiza que haya suficientes
recursos disponibles para desarrollar e implementar programas efectivos de gestión de riesgos en toda la
organización. Comprender y abordar el riesgo es unestratégicocapacidad y unhabilitador de misiones y funciones
comerciales en todas las organizaciones. La gestión eficaz de los riesgos de seguridad de la información en toda la
organización requiere los siguientes elementos clave:
• Asignación de responsabilidades de gestión de riesgos a los líderes/ejecutivos senior;
• Reconocimiento y comprensión continuos por parte de los líderes superiores/ejecutivos de los riesgos de seguridad
de la información para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación
que surgen de la operación y el uso de los sistemas de información;
• Establecer la tolerancia organizacional al riesgo y comunicar la tolerancia al riesgo en toda la

organización, incluida la orientación sobre cómo la tolerancia al riesgo afecta las actividades de
toma de decisiones en curso;8y
• Responsabilidad de los líderes/ejecutivos sénior por sus decisiones de gestión de riesgos y por la
implementación de programas efectivos de gestión de riesgos en toda la organización.
7La agregación de diferentes tipos de riesgo en toda la organización está más allá del alcance de esta publicación.
8La evaluación deriesgo residual(que cambia con el tiempo) para determinar el riesgo aceptable depende del umbral establecido por la
organizacióntolerancia al riesgo.
____________________________________________________________________________________________________________________
1.1 PROPÓSITO Y APLICABILIDAD

La publicación especial NIST 800-39 es el documento principal de la serie de normas y directrices de seguridad de
la información desarrolladas por NIST en respuesta a FISMA. El propósito de la Publicación especial 800-39 es
proporcionar orientación para un programa integrado de toda la organización para administrar el riesgo de
seguridad de la información para las operaciones de la organización (es decir, misión, funciones, imagen y
reputación), activos de la organización, personas, otras organizaciones y la Nación que resulten de la operación y
uso de los sistemas de información federales. La Publicación especial 800-39 proporciona un enfoque
estructurado pero flexible para administrar el riesgo que tiene una base intencionalmente amplia, con los detalles
específicos de evaluación, respuesta y monitoreo del riesgo de manera continua proporcionados por otros
estándares y pautas de seguridad del NIST. La orientación proporcionada en esta publicación no pretende
reemplazar ni subsumir otras actividades, programas, procesos o enfoques relacionados con el riesgo que las
organizaciones hayan implementado o tengan la intención de implementar para abordar áreas de gestión de
riesgos cubiertas por otras leyes, directivas, políticas, iniciativas programáticas, o requisitos de misión/negocio.
Más bien, la guía de gestión de riesgos descrita en este documento es complementaria y debe utilizarse como
parte de un programa de gestión de riesgos empresariales (ERM) más completo.
Esta publicación cumple con los requisitos de FISMA y cumple o supera los requisitos de seguridad de la
información establecidos para las agencias ejecutivas9por la Oficina de Gerencia y Presupuesto (OGP) en la
Circular A-130, Apéndice III,Seguridad de los recursos de información automatizados federales.Las pautas de esta
publicación se aplican a todos los sistemas de información federales que no sean los sistemas designados como
sistemas de seguridad nacional según se define en 44 USC, Sección 3542. Las pautas se han desarrollado
ampliamente desde una perspectiva técnica para complementar pautas similares para los sistemas de seguridad
nacional y pueden utilizarse para dichos sistemas con la aprobación de los funcionarios federales apropiados que
ejerzan autoridad política sobre dichos sistemas. Se alienta a los gobiernos estatales, locales y tribales, así como a
las organizaciones del sector privado, a considerar el uso de estas pautas, según corresponda.
1.2 PÚBLICO OBJETIVO

Esta publicación está destinada a servir a un grupo diverso de profesionales de la gestión de riesgos, incluidos:
• Personas con responsabilidades de supervisión de la gestión de riesgos (p. ej., jefes de agencias,
directores ejecutivos, directores de operaciones);
• Individuos con responsabilidades para llevar a cabo misiones organizativas/funciones comerciales (p. ej., propietarios de
misiones/negocios, propietarios/administradores de información, funcionarios que autorizan);
• Personas con responsabilidades para adquirir productos, servicios o sistemas de información de tecnología de la
información (p. ej., funcionarios de adquisiciones, funcionarios de adquisiciones, funcionarios de contratación);
• Personas con responsabilidades operativas, de supervisión y de gestión de la seguridad de la información (p. ej.,
directores de información, oficiales superiores de seguridad de la información,10gerentes de seguridad de la
información, propietarios de sistemas de información, proveedores de control común);
9UnAgencia ejecutivaes: (i) un departamento ejecutivo especificado en 5 USC, Sección 101; (ii) un departamento militar
especificado en 5 USC, Sección 102; (iii) un establecimiento independiente como se define en 5 USC, Sección 104 (1); y (iv) una
corporación de propiedad total del gobierno totalmente sujeta a las disposiciones de 31 USC, Capítulo 91. En esta publicación, el
términoAgencia ejecutivaes sinónimo del términoagencia Federal.
10En elagencianivel, este puesto se conoce como Oficial Superior de Seguridad de la Información de la Agencia. Las organizaciones también pueden
referirse a esta posición como laDirector de seguridad de la información.
____________________________________________________________________________________________________________________
• Individuos con responsabilidades de diseño, desarrollo e implementación de seguridad/sistemas de información (p.

ej., gerentes de programa, arquitectos empresariales, arquitectos de seguridad de la información, ingenieros de
seguridad/sistemas de información; integradores de sistemas de información); y
• Individuos con responsabilidades de monitoreo y evaluación de la seguridad de la información (p. ej., evaluadores de
sistemas, evaluadores de penetración, evaluadores de control de seguridad, verificadores/validadores independientes,
inspectores generales, auditores).
1.3 PUBLICACIONES RELACIONADAS
El enfoque de gestión de riesgos descrito en esta publicación está respaldado por una serie de normas y directrices de
seguridad necesarias para gestionar los riesgos de seguridad de la información. En particular, las Publicaciones Especiales
desarrolladas por la Iniciativa de Transformación de la Fuerza de Tarea Conjunta11que respaldan el marco unificado de
seguridad de la información para el gobierno federal incluyen:
• Publicación especial 800-37,Guía para aplicar el marco de gestión de riesgos a los sistemas de información
federales: un enfoque del ciclo de vida de la seguridad;
• Publicación especial 800-53,Controles de seguridad recomendados para organizaciones y sistemas

de información federales;
• Publicación especial 800-53A,Guía para la Evaluación de los Controles de Seguridad en los

Sistemas y Organismos de Información Federales; y
• Borrador de Publicación Especial 800-30,Guía para realizar evaluaciones de riesgos.12
Además de las publicaciones del Grupo de trabajo conjunto enumeradas anteriormente, la Organización
internacional de normalización (ISO) y la Comisión electrotécnica internacional (IEC) publican estándares para la
gestión de riesgos y la seguridad de la información, que incluyen:
• ISO/IEC 31000,Gestión de riesgos - Principios y directrices;
• ISO/IEC 31010,Gestión de riesgos - Técnicas de evaluación de riesgos;
• ISO/IEC 27001,Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de la

seguridad de la información - Requisitos; y
• ISO/IEC 27005,Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de riesgos de

seguridad de la información.
La misión de NIST incluye la armonización de estándares internacionales y nacionales cuando corresponda. Los
conceptos y principios contenidos en esta publicación están destinados a implementar para los sistemas y
organizaciones de información federales, un sistema de gestión de seguridad de la información y un proceso de
gestión de riesgos similar a los descritos en las normas ISO/IEC. Esto reduce la carga de las organizaciones que
deben cumplir tanto con las normas ISO/IEC como con las normas y directrices del NIST.
11Se puede obtener una descripción general de cada publicación de la Iniciativa de Transformación de la Fuerza de Tarea Conjunta, similar a un
Resumen Ejecutivo, a través de los Boletines de Seguridad ITL del NIST apropiados enhttp://csrc.nist.gov .
12La Publicación Especial 800-39 reemplaza a la Publicación Especial 800-30 original como fuente de orientación sobre la gestión de
riesgos. La Publicación especial 800-30 se está revisando para brindar orientación sobre la evaluación de riesgos como documento de
apoyo a la Publicación especial 800-39.
____________________________________________________________________________________________________________________
1.4 ORGANIZACIÓN DE ESTA PUBLICACIÓN ESPECIAL El resto de
esta publicación especial está organizado de la siguiente manera:
• Capitulo dosdescribe: (i) los componentes de la gestión de riesgos; (ii) el enfoque de gestión de
riesgos de varios niveles; (iii) gestión de riesgos a nivel de organización (Tier 1); (iv) gestión de riesgos
a nivel de misión/proceso de negocio (Nivel 2); (v) gestión de riesgos a nivel del sistema de
información (Nivel 3); (vi) riesgo relacionado con la confianza y confiabilidad; (vii) los efectos de la
cultura organizacional sobre el riesgo; y (viii) relaciones entre conceptos clave de gestión de riesgos.
• Capítulo tresdescribe un proceso basado en el ciclo de vida para administrar el riesgo de seguridad de la información que
incluye: (i) una descripción general del proceso de administración de riesgos; (ii) cómo las organizaciones establecen el
contexto para las decisiones basadas en el riesgo; (iii) cómo las organizaciones evalúan el riesgo; (iv) cómo las
organizaciones responden al riesgo; y (v) cómo las organizaciones monitorean el riesgo a lo largo del tiempo.
• Apéndices de apoyoproporcionar información adicional sobre gestión de riesgos, incluidos: (i) referencias
generales; (ii) definiciones y términos; (iii) siglas; (iv) roles y responsabilidades; (v) tareas del proceso de
gestión de riesgos; (vi) modelos de gobernanza; (vii) modelos de confianza; y (viii) estrategias de respuesta al
riesgo.
CAPÍTULO 1 PAGINA 5
____________________________________________________________________________________________________________________
CAPITULO DOS
LOS FUNDAMENTOS
CONCEPTOS BÁSICOS ASOCIADOS A LA GESTIÓN DE RIESGOS
T Este capítulo describe los conceptos fundamentales asociados con la gestión de riesgos de seguridad de
la información en una organización, incluidos: (i) los componentes de la gestión de riesgos; (ii) el enfoque
de gestión de riesgos de varios niveles; (iii) gestión de riesgos en el Nivel 1 (nivel de organización); (iv)
gestión de riesgos en el Nivel 2 (nivel de misión/proceso comercial); (v) gestión de riesgos en el Nivel 3 (nivel del
sistema de información); (vi) riesgo relacionado con la confianza y confiabilidad; (vii) los efectos de la cultura
organizacional sobre el riesgo; y (viii) las relaciones entre los conceptos clave de gestión de riesgos.
2.1 COMPONENTES DE LA GESTIÓN DE RIESGOS
La gestión del riesgo es una actividad compleja y multifacética que requiere la participación de toda la organización, desde
los líderes/ejecutivos senior que brindan la visión estratégica y las metas y objetivos de alto nivel para la organización; a
los líderes de nivel medio que planifican, ejecutan y gestionan proyectos; a personas en primera línea que operan los
sistemas de información que respaldan las misiones / funciones comerciales de la organización. La gestión de riesgos es
un proceso integral que requiere que las organizaciones: (i)marcoriesgo (es decir, establecer el contexto para las
decisiones basadas en el riesgo); (ii) evaluarriesgo; (iii)responderarriesgar una vez determinado; y (iv)monitorriesgo de
forma continua utilizando comunicaciones organizacionales efectivas y un circuito de retroalimentación para la mejora
continua en las actividades relacionadas con el riesgo de las organizaciones. La gestión de riesgos se lleva a cabo como
una actividad holística de toda la organización que aborda el riesgo desde el nivel estratégico hasta el nivel táctico,
asegurando que la toma de decisiones basada en el riesgo se integre en todos los aspectos de la organización.13Las
siguientes secciones describen brevemente cada uno de los cuatro componentes de la gestión de riesgos.
El primer componente de la gestión de riesgos aborda cómo las organizacionesmarcoriesgo o establecer un

contexto de riesgo, es decir, describir el entorno en el que se toman las decisiones basadas en el riesgo. El
propósito del componente de encuadre de riesgo es producir unaestrategia de gestión de riesgosthat
addresses how organizations intend to assess risk, respond to risk, and monitor risk—making explicit and
transparent the risk perceptions that organizations routinely use in making both investment and
operational decisions. The risk frame establishes a foundation for managing risk and delineates the
boundaries for risk-based decisions within organizations. Establishing a realistic and credible risk frame
requires that organizations identify: (i) risk assumptions (e.g., assumptions about the threats, vulnerabilities,
consequences/impact, and likelihood of occurrence that affect how risk is assessed, responded to, and
monitored over time); (ii) risk constraints (e.g., constraints on the risk assessment, response, and monitoring
alternatives under consideration); (iii) risk tolerance (e.g., levels of risk, types of risk, and degree of risk
uncertainty that are acceptable); and (iv) priorities and trade-offs (e.g., the relative importance of missions/
business functions, trade-offs among different types of risk that organizations face, time frames in which
organizations must address risk, and any factors of uncertainty that organizations consider in risk
responses). The risk framing component and the associated risk management strategy also include any
strategic-level decisions on how risk to organizational operations and assets, individuals, other
organizations, and the Nation, is to be managed by senior leaders/executives.
13La gestión de riesgos integrada en toda la empresa incluye, por ejemplo, la consideración de: (i) las metas/objetivos estratégicos de las
organizaciones; (ii) misiones organizacionales / funciones comerciales priorizadas según sea necesario; (iii) misión/procesos comerciales; (iv)
arquitecturas empresariales y de seguridad de la información; y (v) procesos del ciclo de vida del desarrollo del sistema.
CAPITULO 2 PÁGINA 6
____________________________________________________________________________________________________________________
El segundo componente de la gestión de riesgos aborda cómo las organizacionesevaluarriesgo dentro del contexto del
marco de riesgo organizacional. El propósito del componente de evaluación de riesgos es identificar: (i) amenazas a las
organizaciones (es decir, operaciones, activos o personas) o amenazas dirigidas a través de organizaciones contra otras
organizaciones o la Nación; (ii) vulnerabilidades internas y externas a las organizaciones;14(iii) el daño (es decir,
consecuencias/impacto) a las organizaciones que puede ocurrir dado el potencial de amenazas que aprovechan las
vulnerabilidades; y (iv) la probabilidad de que ocurra un daño. El resultado final es una determinación del riesgo (es
decir, el grado de daño y la probabilidad de que ocurra). Para respaldar el componente de evaluación de riesgos, las
organizaciones identifican: (i) las herramientas, técnicas y metodologías que se utilizan para evaluar el riesgo; (ii) los
supuestos relacionados con las evaluaciones de riesgo; (iii) las limitaciones que pueden afectar las evaluaciones de
riesgo; (iv) roles y responsabilidades; (v) cómo se recopila, procesa y comunica la información de la evaluación de riesgos
en todas las organizaciones; (vi) cómo se realizan las evaluaciones de riesgos dentro de las organizaciones; (vii) la
frecuencia de las evaluaciones de riesgo; y (viii) cómo se obtiene la información sobre amenazas (es decir, fuentes y
métodos).
El tercer componente de la gestión de riesgos aborda cómo las organizacionesresponderal

riesgo una vez que ese riesgo se determina con base en los resultados de las evaluaciones de
riesgo. El propósito del componente de respuesta al riesgo es proporcionar una respuesta
consistente al riesgo en toda la organización de acuerdo con el marco de riesgo organizacional
al: (i) desarrollar cursos de acción alternativos para responder al riesgo; (ii) evaluar los cursos
alternativos de acción; (iii) determinar cursos de acción apropiados consistentes con la
tolerancia al riesgo organizacional; y (iv) implementar respuestas de riesgo basadas en cursos
de acción seleccionados. Para respaldar el componente de respuesta al riesgo, las
organizaciones describen los tipos de respuestas al riesgo que se pueden implementar (es
decir, aceptar, evitar, mitigar, compartir o transferir el riesgo). Las organizaciones también
identifican las herramientas, técnicas y metodologías utilizadas para desarrollar cursos de
acción para responder al riesgo,15
El cuarto componente de la gestión de riesgos aborda cómo las organizacionesmonitorriesgo con el tiempo. El propósito
del componente de monitoreo de riesgos es: (i) verificar que se implementen las medidas planificadas de respuesta a los
riesgos y que los requisitos de seguridad de la información se deriven de / sean rastreables a las misiones
organizacionales / funciones comerciales, la legislación federal, las directivas, los reglamentos, las políticas y los
estándares y las directrices , estan satisfechos; (ii) determinar la efectividad continua de las medidas de respuesta al riesgo
después de la implementación; y (iii) identificar cambios que impacten en el riesgo de los sistemas de información
organizacionales y los entornos en los que operan los sistemas.dieciséisPara respaldar el componente de monitoreo de
riesgos, las organizaciones describen cómo se verifica el cumplimiento y cómo se determina la efectividad continua de las
respuestas al riesgo (p. ej., los tipos de herramientas, técnicas y metodologías utilizadas para determinar la suficiencia/
corrección de las respuestas al riesgo y si se toman medidas de mitigación del riesgo). se implementan correctamente,
funcionan según lo previsto y producen el efecto deseado con respecto a la reducción del riesgo). Además, las
organizaciones describen cómo se monitorean los cambios que pueden afectar la efectividad continua de las respuestas al
riesgo.
14Las vulnerabilidades organizacionales no se limitan a los sistemas de información, sino que pueden incluir, por ejemplo, vulnerabilidades en las estructuras de
gobierno, la misión/los procesos comerciales, la arquitectura empresarial, la arquitectura de seguridad de la información, las instalaciones, los equipos, los procesos
del ciclo de vida del desarrollo del sistema, las actividades de la cadena de suministro y los proveedores de servicios externos. .
15La guía de gestión de riesgos de la cadena de suministro se proporciona en el Informe interinstitucional 7622 del NIST.
dieciséis Los entornos de operación incluyen, pero no se limitan a: el espacio de amenazas; vulnerabilidades; misiones/funciones comerciales;
misión/procesos comerciales; arquitecturas empresariales y de seguridad de la información; tecnologías de la información; personal;
instalaciones; relaciones de la cadena de suministro; gobernanza / cultura organizacional; procesos de compras/adquisiciones; políticas/
procedimientos organizacionales; suposiciones organizativas, limitaciones, tolerancia al riesgo y prioridades/compensaciones).
____________________________________________________________________________________________________________________
Como se indica en los cuatro componentes de la gestión de riesgos descritos

anteriormente, las organizaciones también consideran las relaciones de riesgo externo,
según corresponda. Las organizaciones identifican entidades externas con las que
existe una relación de riesgo real o potencial (es decir, organizaciones que podrían
imponer riesgos, transferir riesgos o comunicar riesgos a otras organizaciones, así
como aquellas a las que las organizaciones podrían imponer, transferir o comunicar
riesgos). ). Las relaciones de riesgo externo incluyen, por ejemplo, proveedores, clientes
o poblaciones atendidas, socios de misión/negocios y/o proveedores de servicios. Para
las organizaciones que se enfrentan a amenazas persistentes avanzadas (es decir, un
patrón a largo plazo de ataques sofisticados y dirigidos), el riesgo que representan los
socios externos (especialmente los proveedores en la cadena de suministro) puede
volverse más pronunciado.
La figura 1 ilustra el proceso de gestión de riesgos y los flujos de información y comunicaciones entre los
componentes. Las flechas negras representan elprimariofluye dentro del proceso de gestión de riesgos con
el riesgoenmarcadoinformando todo el conjunto secuencial paso a paso de actividades que se mueven
desde el riesgoevaluaciónarriesgarrespuestaarriesgarsupervisión. Por ejemplo, uno de los principales
resultados del componente de elaboración de marcos de riesgo es una descripción de las fuentes y los
métodos que utilizan las organizaciones para adquirir información sobre amenazas (p. ej., informes de la
comunidad de inteligencia clasificados y de fuente abierta). La salida con respecto a la información sobre
amenazas es una entrada principal para el componente de evaluación de riesgos y se comunica en
consecuencia a ese componente. Otro ejemplo se ilustra en el resultado principal del componente de
evaluación de riesgos, es decir, una determinación del riesgo. El resultado del componente de evaluación de
riesgos se comunica al componente de respuesta al riesgo y se recibe como entrada principal para ese
componente. Otra entrada principal al componente de respuesta al riesgo es un resultado del componente
de encuadre del riesgo: la estrategia de gestión del riesgo que define cómo la organización debe responder
al riesgo. Juntas, estas entradas,
EVALUAR
Información y Información y
Flujos de comunicaciones Flujos de comunicaciones
MARCO
MONITOR RESPONDER
FIGURA 1: PROCESO DE GESTIÓN DE RIESGOS
El carácter bidireccional de las flechas indica que los flujos de información y comunicación entre los
componentes de gestión de riesgos, así como el orden de ejecución de los componentes, pueden
CAPITULO 2 PAGINA 8
____________________________________________________________________________________________________________________
ser flexible y responder a la naturaleza dinámica del proceso de gestión de riesgos. Por ejemplo, la nueva legislación,
directivas o políticas pueden requerir que las organizaciones implementen medidas adicionales de respuesta al riesgo de
inmediato. Esta información se comunica directamente desde el componente de elaboración del marco de riesgo al
componente de respuesta al riesgo, donde se llevan a cabo actividades específicas para lograr el cumplimiento de la nueva
legislación, directivas o políticas, lo que ilustra la naturaleza muy dinámica y flexible de la información a medida que
avanza en la gestión de riesgos. proceso. El Capítulo Tres proporciona una descripción completa del proceso de gestión de
riesgos en toda la organización, incluidas las especificaciones para entradas/condiciones previas, actividades y salidas/
condiciones posteriores.
2.2 GESTIÓN DE RIESGO MULTITIZADA

Para integrar el proceso de gestión de riesgos en toda la organización, se emplea un enfoque de tres niveles que
aborda el riesgo en: (i)organizaciónnivel; (ii)misión / proceso de negocionivel; y (iii)sistema de informacionnivel. El
proceso de gestión de riesgos se lleva a cabo sin problemas en los tres niveles con el objetivo general de la mejora
continua en las actividades relacionadas con el riesgo de la organización y la comunicación efectiva entre niveles y
dentro de los niveles entre todas las partes interesadas que tienen un interés compartido en la misión/éxito
comercial de la organización. La Figura 2 ilustra el enfoque de tres niveles para la gestión de riesgos junto con
algunas de sus características clave.
RIESGO ESTRATÉGICO
- rastreable ra-Tier
Riesgo-Bas
TIER 1
- Organizar ORGANIZACIÓN
o
movimiento
Riesgo Awa
EL NIVEL 2
SION/PROCESOS DE NEGOCIO
NIVEL 3
SISTEMAS DE INFORMACIÓN
RIESGO TÁCTICO
FIGURA 2: GESTIÓN DE RIESGOS EN TODA LA ORGANIZACIÓN EN MÚLTIPLES NIVELES
El nivel 1 aborda el riesgo de unorganizativoperspectiva. El Nivel 1 implementa el primer componente de la gestión de

riesgos (es decir, el marco de riesgo), proporcionando el contexto para todas las actividades de gestión de riesgos
realizadas por las organizaciones. Las actividades de gestión de riesgos del Nivel 1 afectan directamente a las actividades
realizadas en los Niveles 2 y 3. Por ejemplo, las misiones y funciones comerciales definidas en el Nivel 1 influyen en el
diseño y desarrollo de la misión / procesos comerciales creados en el Nivel 2 para llevar a cabo esas misiones / funciones
de negocio. El Nivel 1 proporciona una priorización de misiones/funciones comerciales que, a su vez, impulsa las
estrategias de inversión y las decisiones de financiamiento, lo que afecta el desarrollo de la arquitectura empresarial
(incluida la arquitectura de seguridad de la información integrada) en el Nivel 2 y las asignaciones y el despliegue de
recursos administrativos, operativos y técnicos. controles de seguridad en el Nivel 3.
____________________________________________________________________________________________________________________
Otros ejemplos de actividades de Nivel 1 que afectan las actividades de Nivel 2 y Nivel 3 incluyen la selección de controles
comunes, la provisión de orientación del ejecutivo de riesgo (función)17a los funcionarios autorizadores, y el
establecimiento de la orden de recuperación de los sistemas de información que respaldan las misiones críticas y las
operaciones comerciales. La Sección 2.3 proporciona una descripción más detallada de las actividades específicas
asociadas con el Nivel 1.
El nivel 2 aborda el riesgo de unmisión / proceso de negocioperspectiva y está informado por el contexto de riesgo,
las decisiones de riesgo y las actividades de riesgo en el Nivel 1. Las actividades de gestión de riesgo de Nivel 2
incluyen: (i) definir la misión/procesos comerciales necesarios para respaldar las misiones y funciones comerciales
de las organizaciones; (ii) priorizar la misión/procesos de negocio con respecto a las metas y objetivos estratégicos
de las organizaciones; (iii) definir los tipos de información necesarios para ejecutar con éxito la misión/procesos
comerciales, la criticidad/sensibilidad de la información y los flujos de información tanto internos como externos a
las organizaciones; (iv) incorporar requisitos de seguridad de la información18en la misión/procesos comerciales; y
(v) establecer una arquitectura empresarial19con arquitectura de seguridad de la información integrada20que
promueva soluciones de tecnología de la información rentables y eficientes en consonancia con las metas y
objetivos estratégicos de la organización y las medidas de desempeño. Las actividades del Nivel 2 afectan
directamente las actividades realizadas en el Nivel 3. Por ejemplo, la parte de la arquitectura de seguridad de la
información de la arquitectura empresarial desarrollada en el Nivel 2 influye y guía la asignación de las
necesidades de protección de la información que, a su vez, influye y guía la asignación de la controles de seguridad
a componentes específicos de los sistemas de información de la organización en el Nivel 3. Las decisiones de
arquitectura empresarial en el Nivel 2 afectan el diseño de los sistemas de información en el Nivel 3, incluidos los
tipos de tecnologías de la información aceptables para usar en el desarrollo de esos sistemas. Las actividades
realizadas en el Nivel 2 también pueden proporcionar retroalimentación útil al Nivel 1, posiblemente resultando en
revisiones al marco de riesgo organizacional o afectando las actividades de gestión de riesgos llevadas a cabo en el
Nivel 1, por ejemplo, aquellas realizadas por el ejecutivo de riesgos (función). La Sección 2.4 proporciona una
descripción más detallada de las actividades específicas asociadas con el Nivel 2.
El nivel 3 aborda el riesgo de unsistema de informacionperspectiva y se guía por el contexto de riesgo, las
decisiones de riesgo y las actividades de riesgo en los Niveles 1 y 2. Las actividades de gestión de riesgos de
Nivel 3 incluyen: (i) categorizar los sistemas de información de la organización; (ii) asignar controles de
seguridad a los sistemas de información de la organización y los entornos en los que esos sistemas operan
de manera coherente con la arquitectura empresarial establecida de la organización y la arquitectura de
seguridad de la información integrada; y (iii) administrar la selección, implementación, evaluación,
autorización y monitoreo continuo de los controles de seguridad asignados como parte de un proceso
disciplinado y estructurado del ciclo de vida del desarrollo del sistema implementado en toda la
organización. En el Nivel 3, los propietarios de sistemas de información, los proveedores de control común,
los ingenieros de sistemas y seguridad,
17El ejecutivo de riesgos (función) se describe en la Sección 2.3.2.
18Los requisitos de seguridad de la información se pueden obtener de una variedad de fuentes (p. ej., legislación, políticas, directivas, reglamentos,
estándares y requisitos de misión/negocio/operativos de la organización). Los requisitos de seguridad a nivel de la organización se documentan en
el plan del programa de seguridad de la información o en un documento equivalente.
19Los Modelos de Referencia de Arquitectura Empresarial Federal y las Arquitecturas de Segmento y Solución se definen en el Programa de
Arquitectura Empresarial Federal (FEA) de la OMB,Documento de modelo de referencia consolidado FEA,Versión 2.3, octubre de 2003 y OMB
Metodología de Arquitectura de Segmento Federal (FSAM),enero de 2009, respectivamente.
20Elarquitectura de seguridad de la informacióndescribe los aspectos relacionados con la seguridad de la arquitectura empresarial que
se incorporan a la definición de arquitectura empresarial como parte integral del desarrollo de la arquitectura, es decir, una
subarquitectura derivada de la arquitectura empresarial, no una capa o arquitectura definida por separado.
CAPITULO 2 PAGINA 10
____________________________________________________________________________________________________________________
seguimiento de los sistemas de información de la organización. Sobre la base de estas decisiones diarias basadas en el
riesgo operativo, los funcionarios autorizadores toman decisiones de seguimiento basadas en el riesgo sobre si los
sistemas de información están o no autorizados inicialmente para operar dentro de los entornos de operación designados
o continúan recibiendo autorización para operar en una base continua. Estas decisiones continuas basadas en riesgos
están informadas por el proceso de gestión de riesgos con la guía del ejecutivo de riesgos (función) y las diversas
consideraciones arquitectónicas que respaldan la misión/procesos comerciales. Además, las actividades en el Nivel 3
brindan retroalimentación esencial a los Niveles 1 y 2. Las nuevas vulnerabilidades descubiertas en un sistema de
información organizacional, por ejemplo, pueden tener implicaciones sistémicas que se extiendan a toda la organización.
Esas mismas vulnerabilidades pueden desencadenar cambios en la arquitectura empresarial y la arquitectura de
seguridad de la información integrada o pueden requerir un ajuste en la tolerancia al riesgo de la organización. La Sección
2.5 proporciona una descripción más detallada de las actividades específicas asociadas con el Nivel 3.
Dado que la misión y el éxito comercial en las organizaciones dependen de los sistemas de información, esos sistemas
deben ser confiables. Para ser confiable frente a amenazas sofisticadas, los sistemas de información deben ser
utilizados de manera inteligente de acuerdo con el grado de protección y resiliencia alcanzado.
2.3 PRIMER NIVEL-VISTA DE LA ORGANIZACIÓN
El nivel 1 aborda el riesgo de unorganizativoperspectiva estableciendo e implementando gobernancia

estructuras que sean consistentes con las metas y objetivos estratégicos de las organizaciones y los
requisitos definidos por las leyes federales, directivas, políticas, reglamentos, estándares y misiones/
funciones comerciales. Las estructuras de gobierno supervisan las actividades de gestión de riesgos
realizadas por las organizaciones e incluyen: (i) el establecimiento e implementación de un ejecutivo de
riesgos (función); (ii) el establecimiento de la estrategia de gestión de riesgos de la organización, incluida
la determinación detolerancia al riesgo; y (iii) el desarrollo y ejecución de toda la organizaciónestrategias
de inversiónpara los recursos de información y la seguridad de la información.
2.3.1 Gobernanza
En general,gobernanciaes el conjunto de responsabilidades y prácticas que ejercen los responsables de una
organización (por ejemplo, la junta directiva y la gerencia ejecutiva en una corporación, el jefe de una agencia
federal) con el objetivo expreso de: (i) proporcionar dirección estratégica; (ii) garantizar que se logren la misión
organizacional y los objetivos comerciales; (iii) asegurarse de que los riesgos se gestionen adecuadamente; y (iv)
verificar que los recursos de la organización se utilicen de manera responsable.21
Los riesgos y los recursos se pueden asociar con diferentes sectores organizacionales (por ejemplo, legal, finanzas,
tecnología de la información, cumplimiento normativo, seguridad de la información). Diferentes sectores requieren
experiencia especializada para gestionar los riesgos asociados con ese sector. Por lo tanto, la gobernanza dentro de las
organizaciones con frecuencia se organiza por sector.22Los cinco resultados de la gobernanza relacionados con la gestión
de riesgos en toda la organización son:
21Esta definición está adaptada del IT Governance Institute. El Chartered Institute of Management Accountants y la
International Federation of Accountants también adoptaron esta definición en 2004.
22Si bien la gobernanza suele organizarse por sectores, a las organizaciones les conviene establecer un único enfoque de gobernanza
alineado. Un enfoque de gobernanza unificado puede coordinar las actividades de gobernanza del sector individual y proporcionar un
enfoque de gobernanza coherente en toda la organización.
____________________________________________________________________________________________________________________
• Alineación estratégica de las decisiones de gestión de riesgos con las misiones y funciones comerciales
consistentes con las metas y objetivos organizacionales;
• Ejecución de procesos de gestión de riesgos para enmarcar, evaluar, responder y monitorear el riesgo
de las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación;
• Asignación eficaz y eficiente de los recursos de gestión de riesgos;
• Resultados basados en el desempeño mediante la medición, el seguimiento y la presentación de informes de métricas de

gestión de riesgos para garantizar que se logren las metas y los objetivos de la organización; y
• Valor entregado mediante la optimización de las inversiones en gestión de riesgos en apoyo de los objetivos de la
organización.23
Como parte de la gobernanza de la organización, los líderes/ejecutivos senior, en consulta y colaboración con el
ejecutivo de riesgos (función), determinan: (i) los tipos de decisiones de gestión de riesgos que se reservan para
funciones específicas de liderazgo senior (p. ej., jefes de agencias o director ejecutivo). ejecutivos, directores
financieros, directores de información, directores de seguridad de la información);24(ii) los tipos de decisiones de
gestión de riesgos que se consideran de toda la organización y los tipos de decisiones que se pueden delegar a
organizaciones subordinadas o a otros roles en la organización (por ejemplo, ingenieros de sistemas y seguridad,
propietarios de misiones/negocios, arquitectos, arquitectos de seguridad de la información, proveedores de
infraestructura o servicios comunes, funcionarios autorizadores); y (iii) cómo las decisiones de gestión de riesgos
serán comunicadas al y por el ejecutivo de riesgos (función). En el Apéndice F se describen tres tipos diferentes de
modelos de gobierno (es decir, centralizado, descentralizado e híbrido). Independientemente del modelo o
modelos de gobierno empleados, la asignación clara y la responsabilidad por aceptar el riesgo son esenciales para
una gestión de riesgos eficaz.
Una gobernanza sólida es el mejor indicador del compromiso de los líderes sénior con una gestión de riesgos eficaz y
coherente en toda la organización para lograr el éxito continuo de la misión/negocio.
2.3.2 Ejecutivo de Riesgos (Función)

El ejecutivo de riesgos es un rol funcional establecido dentro de las organizaciones para proporcionar un enfoque más
integral de toda la organización para la gestión de riesgos. Elejecutivo de riesgos (función) sirve como el recurso común
de gestión de riesgos para líderes senior/ejecutivos, propietarios de misiones/negocios, directores de información,
directores de seguridad de la información, propietarios de sistemas de información, proveedores de control común,25
arquitectos empresariales, arquitectos de seguridad de la información, ingenieros de seguridad/sistemas de
información, gerentes/oficiales de seguridad de sistemas de información y cualquier otra parte interesada que tenga un
interés personal en la misión/el éxito empresarial de las organizaciones. El ejecutivo de riesgos (función) se coordina con
los líderes/ejecutivos senior para:
• Establecer funciones y responsabilidades de gestión de riesgos;
23Resultados de la gobernanza de la seguridad de la información adaptados deInstituto de Gobernanza de TI, Gobernanza de Seguridad de la
Información: Orientación para Juntas Directivas y Gerencia Ejecutiva, 2Dakota del NorteEdición, 2006.
24 No hay ninguna implicación al enumerar varios títulos dentro de una organización de cualquier relación particular (de pares o de
otro tipo) o líneas de autoridad.
25Aproveedor de control comúnes un funcionario organizacional responsable del desarrollo, implementación, evaluación y
monitoreo de controles comunes (es decir, controles de seguridad heredados por los sistemas de información).
CAPITULO 2 PAGINA 12
____________________________________________________________________________________________________________________
• Desarrollar e implementar un plan de acción en toda la organizaciónestrategia de gestión de riesgosque guía e

informa las decisiones de riesgo organizacional (incluyendo cómo se enmarca, evalúa, responde y monitorea el
riesgo a lo largo del tiempo);26
• Gestionar la información sobre amenazas y vulnerabilidades con respecto a los sistemas de información de
la organización y los entornos en los que operan los sistemas;
• Establecer foros en toda la organización para considerar todos los tipos y fuentes de riesgo (incluido el
riesgo agregado);
• Determinar el riesgo organizacional con base en el riesgo agregado de la operación y uso de los
sistemas de información y los respectivos ambientes de operación;
• Supervisar las actividades de gestión de riesgos llevadas a cabo por las organizaciones para garantizar
decisiones coherentes y eficaces basadas en riesgos;
• Desarrollar una mayor comprensión del riesgo con respecto a la visión estratégica de las organizaciones y sus
operaciones integradas;
• Establecer vehículos efectivos y servir como punto focal para comunicar y compartir información
relacionada con el riesgo entre las partes interesadas clave internas y externas a las organizaciones;
• Especificar el grado de autonomía para las organizaciones subordinadas permitidas por las
organizaciones matrices con respecto a enmarcar, evaluar, responder y monitorear el riesgo;27
• Promover la cooperación y la colaboración entre los funcionarios autorizadores para incluir acciones de autorización de
seguridad que requieran una responsabilidad compartida (por ejemplo, autorizaciones conjuntas/apalancadas);28
• Asegúrese de que las decisiones de autorización de seguridad consideren todos los factores necesarios para el éxito de
la misión y el negocio; y
• Asegúrese de que la responsabilidad compartida para respaldar las misiones organizacionales y las funciones comerciales
utilizando proveedores externos reciba la visibilidad necesaria y se eleve a las autoridades de toma de decisiones
correspondientes.
El ejecutivo de riesgos (función) no presupone una estructura organizativa específica ni una responsabilidad formal
asignada a ningún individuo o grupo dentro de la organización. Los jefes de agencias u organizaciones pueden optar por
retener la (función) ejecutiva de riesgos o delegar la función. El ejecutivo de riesgos (función) requiere una combinación
de habilidades, experiencia y perspectivas para comprender las metas y objetivos estratégicos de las organizaciones, las
misiones organizacionales/funciones comerciales, las posibilidades técnicas y las limitaciones, y los mandatos clave y la
orientación que dan forma a las operaciones organizacionales. Para proporcionar esta combinación necesaria, el
ejecutivo de riesgo (función) puede estar a cargo de una sola persona u oficina (con el apoyo de un personal experto) o
de un grupo designado (p. ej., una junta de riesgo,
26 Las decisiones de riesgo organizacional incluyen decisiones de inversión (ver Sección 2.3.4). Organizativotolerancia al riesgose
determina como parte del componente de marco de riesgo (consulte la Sección 2.3.3) y se define en la estrategia de gestión de riesgos.
27 Debido a que las organizaciones subordinadas responsables de llevar a cabo misiones derivadas o relacionadas pueden haber invertido ya
en sus propios métodos para enmarcar, evaluar, responder y monitorear el riesgo, las organizaciones matrices pueden permitir un mayor
grado de autonomía dentro de partes de la organización o en toda la organización. con el fin de minimizar los costos. Cuando se permite
una diversidad de actividades de gestión de riesgos, las organizaciones pueden optar por emplear, cuando sea factible, algún medio de
traducción y/o síntesis de la información relacionada con el riesgo producida a partir de esas actividades para garantizar que el resultado de
las diferentes actividades se pueda correlacionar en una manera significativa.
28La publicación especial NIST 800-37 brinda orientación sobre autorizaciones conjuntas y apalancadas.
____________________________________________________________________________________________________________________
comité directivo ejecutivo, consejo de liderazgo ejecutivo).29El ejecutivo de riesgo (función) encaja en la estructura
de gobierno organizacional de tal manera que facilita la eficiencia y maximiza la eficacia. Si bien el alcance de toda
la organización sitúa al ejecutivo de riesgos (función) en el Nivel 1, su rol implica comunicaciones continuas y
supervisión de las actividades de gestión de riesgos de los propietarios de la misión/negocio, los funcionarios
autorizadores, los propietarios del sistema de información, los proveedores de control común, los directores de
información. , directores de seguridad de la información, ingenieros de seguridad y sistemas de información,
gerentes/oficiales de seguridad de sistemas de información y otras partes interesadas en los niveles 2 y 3.
Para ser efectivos, los programas de gestión de riesgos de toda la organización requieren un fuerte compromiso,
participación directa y apoyo continuo de los líderes/ejecutivos senior. El objetivo es institucionalizar la gestión de
riesgos en las operaciones diarias de las organizaciones como una prioridad y una parte integral de cómo las
organizaciones realizan operaciones en el ciberespacio, reconociendo que esto es esencial para llevar a cabo con
éxito las misiones en entornos operativos cargados de amenazas. .
2.3.3 Estrategia de gestión de riesgos

Una organizacionestrategia de gestión de riesgos, uno de los resultados clave del marco de riesgo, aborda cómo las
organizaciones pretenden evaluar, responder y monitorear el riesgo: el riesgo asociado con la operación y el uso de los
sistemas de información organizacional. La estrategia de gestión de riesgos hace explícitos los supuestos específicos, las
restricciones, las tolerancias al riesgo y las prioridades/compensaciones utilizadas dentro de las organizaciones para
tomar decisiones operativas y de inversión. La estrategia de gestión de riesgos también incluye cualquier decisión de nivel
estratégico y consideraciones sobre cómo los líderes/ejecutivos principales deben gestionar el riesgo de seguridad de la
información para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación. Una
estrategia de gestión de riesgos para toda la organización incluye, por ejemplo, una expresión inequívoca de la tolerancia
al riesgo de la organización, metodologías de evaluación de riesgos aceptables, estrategias de respuesta al riesgo, un
proceso para evaluar constantemente el riesgo en toda la organización con respecto a la tolerancia al riesgo de la
organización y enfoques para monitorear el riesgo a lo largo del tiempo. El uso de un ejecutivo de riesgos (función) puede
facilitar la aplicación coherente de la estrategia de gestión de riesgos en toda la organización. La estrategia de gestión de
riesgos de toda la organización puede basarse en aportes relacionados con el riesgo de otras fuentes, tanto internas
como externas a la organización, para garantizar que la estrategia sea amplia e integral.
Una importante actividad de gestión de riesgos de Nivel 1 y también parte del marco de riesgo, es la determinación de
tolerancia al riesgo. La tolerancia al riesgo es el nivel de riesgo o grado de incertidumbre que es aceptable para las
organizaciones y es un elemento clave del marco de riesgo organizacional. La tolerancia al riesgo afecta a todos los
componentes del proceso de gestión de riesgos, lo que tiene un impacto directo en las decisiones de gestión de riesgos
que toman los líderes/ejecutivos sénior en toda la organización y proporciona limitaciones importantes a esas decisiones.
Por ejemplo, la tolerancia al riesgo afecta la naturaleza y el alcance de la supervisión de la gestión de riesgos
implementada en las organizaciones, el alcance y el rigor de las evaluaciones de riesgos realizadas y el contenido de las
estrategias organizacionales para responder al riesgo. Con respecto a las evaluaciones de riesgo, Es posible que las
organizaciones más tolerantes al riesgo se preocupen solo por aquellas amenazas que han experimentado
organizaciones similares, mientras que las organizaciones menos tolerantes al riesgo pueden ampliar la lista para incluir
aquellas amenazas que son teóricamente posibles, pero que no se han observado en los entornos operativos. Con
respecto a la respuesta al riesgo, es probable que las organizaciones menos tolerantes al riesgo
29Las organizaciones enfatizan la necesidad de inclusión dentro del ejecutivo de riesgos (función) por parte de los líderes/ejecutivos senior en las áreas
de misión/negocios para ayudar a garantizar una adecuada planificación, recursos y gestión de riesgos de la seguridad de la información.
____________________________________________________________________________________________________________________
exigir motivos adicionales para confiar en la eficacia de salvaguardias y contramedidas seleccionadas o preferir
salvaguardias y contramedidas más maduras y con un historial probado. Dichas organizaciones también pueden
decidir emplear múltiples salvaguardas y contramedidas de múltiples fuentes (por ejemplo, software antivirus en
clientes y servidores proporcionados por diferentes proveedores). Otro ejemplo que ilustra el impacto de la
tolerancia al riesgo en la respuesta al riesgo es que la tolerancia al riesgo también puede afectar los requisitos
organizacionales de confiabilidad proporcionados por tecnologías de la información específicas. Dos
organizaciones pueden elegir las mismas tecnologías de la información, pero su grado relativo de tolerancia al
riesgo puede afectar el grado de evaluación requerido antes de la implementación.
No existe un nivel correcto de tolerancia al riesgo organizacional. Más bien, el grado de

tolerancia al riesgo es: (i) generalmente indicativo de la cultura organizacional; (ii)
potencialmente diferente para diferentes tipos de pérdidas/compromisos; y (iii) altamente
influenciados por la tolerancia al riesgo subjetivo individual de los líderes/ejecutivos senior. Sin
embargo, las ramificaciones de las decisiones de riesgo basadas en la tolerancia al riesgo son
potencialmente profundas, y las organizaciones menos tolerantes al riesgo tal vez no logren
alcanzar la misión/capacidades comerciales necesarias para evitar lo que parece ser un riesgo
inaceptable; mientras que las organizaciones más tolerantes al riesgo pueden enfocarse en la
misión a corto plazo / eficiencias comerciales a expensas de prepararse para fallas futuras.
2.3.4 Estrategias de inversión

Estrategias de inversión30desempeñan un papel importante en los esfuerzos de gestión de riesgos de la organización. Estas
estrategias generalmente reflejan las metas y objetivos estratégicos a largo plazo de las organizaciones y las estrategias de gestión
de riesgos asociadas desarrolladas y ejecutadas para garantizar el éxito de la misión y el negocio. Detrás de todas las estrategias
de inversión está el reconocimiento de que hay una cantidad finita de recursos disponibles para invertir en ayudar a las
organizaciones a administrar el riesgo de manera efectiva, es decir, abordar el riesgo de manera efectiva para lograr el éxito
continuo de la misión / negocio.
Prioridades de misión y riesgo
Las organizaciones generalmente realizan una variedad de misiones y están involucradas en

diferentes tipos de funciones comerciales. Esto es especialmente cierto para organizaciones
grandes y complejas que tienen diferentes componentes organizacionales, cada uno de los
cuales se enfoca típicamente en una o dos misiones principales. Si bien es probable que todos
estos componentes organizacionales y las misiones/funciones comerciales asociadas sean
importantes y desempeñen un papel clave en el éxito general de las organizaciones, en realidad
no tienen la misma importancia. Cuanto mayor sea la criticidad de las misiones organizacionales
y las funciones comerciales, mayor será la necesidad de que las organizaciones aseguren que
los riesgos se gestionen adecuadamente. Es probable que dichas misiones y funciones
comerciales requieran un mayor grado de inversiones en gestión de riesgos que las misiones/
funciones comerciales consideradas menos críticas.
Necesidades de respuesta al riesgo anticipadas
Existe una gran variación en la naturaleza de las amenazas potenciales a las que se enfrentan las organizaciones, que van desde piratas informáticos
que simplemente intentan desfigurar los sitios web de la organización (p. ej., vandalismo cibernético) hasta ataques internos.
30Las estrategias de inversión pueden incluir enfoques organizacionales para: (i) reemplazar los sistemas de información heredados (p. ej.,
incorporar elementos gradualmente, reemplazarlos por completo); (ii) tercerizar y utilizar proveedores externos de sistemas y servicios de
información; y (iii) desarrollo interno vs. adquisición de productos de tecnología de la información comercialmente disponibles.
____________________________________________________________________________________________________________________
amenazas, a grupos terroristas sofisticados / empresas criminales organizadas que buscan exfiltrar información
confidencial, a las fuerzas armadas de un estado nacional que intentan destruir o interrumpir misiones críticas atacando
los sistemas de información organizacionales.31Las inversiones estratégicas requeridas para abordar el riesgo de
adversarios más tradicionales (p. ej., piratas informáticos que realizan actividades en grupos pequeños con capacidades
limitadas) son considerablemente diferentes de las inversiones requeridas para abordar el riesgo asociado con amenazas
persistentes avanzadas consistentes con adversarios más avanzados (p. ej., naciones estados o grupos terroristas con
niveles altamente sofisticados de experiencia y recursos que buscan establecer puntos de apoyo permanentes en
organizaciones con el propósito de obstaculizar aspectos de las misiones organizacionales). Para hacer frente a las
amenazas menos sofisticadas, las organizaciones pueden centrar sus esfuerzos en el Nivel 3: invertir para garantizar que
se obtengan las medidas de seguridad y las contramedidas necesarias (por ejemplo, controles de seguridad, servicios de
seguridad y tecnologías), que se implementen correctamente y que funcionen según lo previsto. y producir el efecto
deseado con respecto al cumplimiento de las políticas de seguridad de la información y el tratamiento de las
vulnerabilidades conocidas. Además de estas inversiones básicas, las organizaciones también pueden invertir en procesos
de monitoreo continuo para garantizar que los controles, servicios y tecnologías de seguridad adquiridos funcionen de
manera efectiva durante todo el ciclo de vida del desarrollo del sistema.
Cuando las organizaciones necesitan abordar amenazas persistentes avanzadas, es probable que abordar adecuadamente
los riesgos relacionados en el Nivel 3 no sea factible porque las soluciones de seguridad necesarias no están actualmente
disponibles en el mercado comercial. En esos casos, las organizaciones deben invertir deliberadamente más allá del Nivel
3 para obtener capacidades de respuesta significativas en el Nivel 2 y, en cierta medida, en el Nivel 1. En el Nivel 3, es
probable que la naturaleza de la inversión cambie de la implementación de soluciones existentes a un enfoque estratégico
adicional en invertir en tecnologías de seguridad de la información de vanguardia (esencialmente experimentar con
soluciones/tecnologías de seguridad innovadoras y ser uno de los primeros en adoptarlas) o invertir en esfuerzos de
investigación y desarrollo de seguridad de la información para abordar brechas tecnológicas específicas.32Las inversiones
en seguridad de la información para hacer frente a amenazas persistentes avanzadas pueden requerir gastos en el
transcurso de varios años, a medida que las nuevas soluciones y tecnologías de seguridad pasan de la investigación al
desarrollo y al despliegue completo. La visión a largo plazo de la inversión estratégica en las necesidades de respuesta al
riesgo de las organizaciones puede ayudar a reducir el enfoque continuo en las vulnerabilidades a corto plazo
descubiertas en los sistemas de información, vulnerabilidades que existen debido a la complejidad de los productos y
sistemas de tecnología de la información y las debilidades inherentes. en esos productos y sistemas.
Limitaciones a las Inversiones Estratégicas
La capacidad de las organizaciones para proporcionar inversiones estratégicas en seguridad de la información es limitada.
Cuando el financiamiento de la inversión estratégica deseada o los recursos estratégicos33no están disponibles para abordar
necesidades específicas, las organizaciones pueden verse obligadas a hacer concesiones. Por ejemplo, las organizaciones
pueden extender el marco de tiempo requerido para lograr los objetivos estratégicos de seguridad de la información.
Alternativamente, las organizaciones pueden priorizar las inversiones en gestión de riesgos, optando por proporcionar recursos
(financieros o de otro tipo) para abordar algunas necesidades estratégicas críticas antes que otras necesidades menos críticas.
Todas las decisiones de inversión requieren que las organizaciones prioricen los riesgos y evalúen los impactos potenciales
asociados con los cursos de acción alternativos.
31Las amenazas descritas anteriormente son un subconjunto del espacio general de amenazas que también incluye errores de omisión
y comisión, desastres naturales y accidentes.
32Esta estrategia de inversión es un cambio de la gestión de vulnerabilidades y parches a una estrategia a más largo plazo que aborda las
brechas de seguridad de la información, como la falta de productos de tecnología de la información con la confiabilidad necesaria para
lograr la resiliencia del sistema de información frente a amenazas persistentes avanzadas.
33En algunos casos, las limitaciones pueden no ser de naturaleza financiera, sino limitaciones en la cantidad de personas con las habilidades/
experiencia adecuadas o limitaciones relacionadas con el estado de la tecnología.
____________________________________________________________________________________________________________________
2.4 NIVEL DOS-MISIÓN/VISTA DEL PROCESO DE NEGOCIO
El nivel 2 aborda el riesgo de unmisión / proceso de negocioperspectiva mediante el diseño, el desarrollo y la

implementación de la misión/procesos comerciales que respaldan las misiones/funciones comerciales definidas en el
Nivel 1. La misión organizacional/los procesos comerciales guían e informan el desarrollo de una arquitectura
empresarial que proporciona una metodología disciplinada y estructurada para administrar la complejidad de la
infraestructura de tecnología de la información de la organización. Un componente clave de la arquitectura empresarial
es la arquitectura de seguridad de la información integrada que proporciona una hoja de ruta para garantizar que los
requisitos de seguridad de la información y las necesidades de protección impulsadas por la misión o el proceso
comercial se definan y asignen a los sistemas de información de la organización apropiados y a los entornos en los que
operan dichos sistemas.
2.4.1 Misión/Procesos comerciales conscientes del riesgo
Las actividades de gestión de riesgos en el Nivel 2 comienzan con la identificación y establecimiento demisión consciente
del riesgo/procesos comercialespara apoyar las misiones de la organización y las funciones comerciales. Una misión/
proceso comercial consciente del riesgo es aquel que tiene en cuenta explícitamente el riesgo probable que tal proceso
causaría si se implementara. Los procesos conscientes del riesgo están diseñados para gestionar el riesgo de acuerdo con
la estrategia de gestión de riesgo definida en el Nivel 1 y explícitamente tienen en cuenta el riesgo al evaluar la misión/las
actividades comerciales y las decisiones en el Nivel 2.34La implementación de la misión/procesos comerciales de gestión de
riesgos requiere una comprensión profunda de las misiones organizacionales y las funciones comerciales y las relaciones
entre las misiones/funciones comerciales y los procesos de apoyo. Esta comprensión es un requisito previo para construir
procesos de misión/negocios lo suficientemente resistentes para soportar una amplia variedad de amenazas, incluidos
ciberataques rutinarios y sofisticados, errores/accidentes y desastres naturales. Una parte importante para lograr
procesos conscientes del riesgo es la comprensión de los líderes/ejecutivos senior de: (i) los tipos de fuentes de amenazas
y eventos de amenazas que pueden afectar negativamente la capacidad de las organizaciones para ejecutar con éxito sus
misiones/funciones comerciales); (ii) los posibles impactos/consecuencias adversas en las operaciones y los activos de la
organización, las personas, otras organizaciones, o la Nación si se compromete la confidencialidad, integridad o
disponibilidad de la información o los sistemas de información utilizados en una misión/proceso comercial; y (iii) la
resiliencia probable a tal compromiso que se puede lograr con una determinada definición de misión/proceso de negocio,
aplicando expectativas realistas para la resiliencia de la tecnología de la información.
Un resultado clave de la definición de nivel 2 de misión/procesos comerciales es la estrategia de respuesta al riesgo

seleccionada35para estos procesos dentro de las limitaciones definidas en la estrategia de gestión de riesgos. La estrategia
de respuesta al riesgo incluye la identificación de las necesidades de protección de la información y la asignación de esas
necesidades entre los componentes del proceso (p. ej., asignación a protecciones dentro de los sistemas de información,
protecciones en los entornos operativos de esos sistemas y asignación a rutas alternativas de ejecución empresarial/
misión basadas en sobre el potencial de compromiso).
2.4.2 Arquitectura empresarial

Un problema importante relacionado con el riesgo relacionado con la capacidad de las organizaciones para llevar a cabo misiones
y funciones comerciales con éxito es la complejidad de la tecnología de la información que se utiliza en los sistemas de
información. Para abordar esta complejidad y el riesgo potencial asociado, las organizaciones necesitan un enfoque disciplinado y
estructurado para administrar los activos de tecnología de la información que respaldan
34La identificación de la misión organizacional/procesos comerciales incluye definir los tipos de información que la
organización necesita para ejecutar con éxito esos procesos, la criticidad y/o sensibilidad de la información, y la
información fluye tanto interna como externamente a la organización.
35Las estrategias de respuesta al riesgo se describen en el Apéndice H.
____________________________________________________________________________________________________________________
su misión/procesos de negocio. Brindar una mayor claridad y comprensión de la infraestructura de

tecnología de la información de las organizaciones, incluido el diseño y desarrollo de los sistemas de
información asociados, es un requisito previo para maximizar la resiliencia y el uso inteligente de estos
sistemas frente a amenazas cada vez más sofisticadas. Este tipo de claridad y comprensión se puede lograr
de manera efectiva a través del desarrollo e implementación de la arquitectura empresarial.
La arquitectura empresarial es una práctica de gestión empleada por las organizaciones para maximizar la eficacia
de los procesos de misión/negocio y los recursos de información para ayudar a lograr el éxito de la misión/negocio.
La arquitectura empresarial establece una conexión clara e inequívoca entre las inversiones (incluidas las
inversiones en seguridad de la información) y las mejoras de rendimiento medibles, ya sea para toda la
organización o parte de ella. La arquitectura empresarial también brinda la oportunidad de estandarizar,
consolidar y optimizar los activos de tecnología de la información. Estas actividades finalmente producen sistemas
de información que son más transparentes y, por lo tanto, más fáciles de comprender y proteger. Además de
establecer una hoja de ruta para un uso más eficiente y rentable de la tecnología de la información en todas las
organizaciones, La arquitectura empresarial proporciona un lenguaje común para analizar los problemas de
gestión de riesgos relacionados con las misiones, los procesos comerciales y los objetivos de rendimiento, lo que
permite una mejor coordinación e integración de los esfuerzos y las inversiones a través de los límites de la
actividad comercial y organizacional. Una arquitectura empresarial bien diseñada, implementada en toda la
organización, promueve capacidades de seguridad de la información más eficientes, rentables, consistentes e
interoperables para ayudar a las organizaciones a proteger mejor las misiones y las funciones comerciales y, en
última instancia, administrar el riesgo de manera más efectiva.
La Arquitectura Empresarial Federal (FEA) define una colección de interrelacionadosmodelos de

referencia incluyendo rendimiento, negocio, componente de servicio, datos y técnico, así como más
detalladosegmentoysoluciónarquitecturas que se derivan de laempresaarquitectura.36
Los activos de la organización (que incluyen programas, procesos, información, aplicaciones, tecnología, inversiones, personal e
instalaciones) se asignan a los modelos de referencia de nivel empresarial para crear una vista de las organizaciones orientada a
segmentos. Los segmentos son elementos de organizaciones que describen áreas de misión, servicios comerciales comunes/
compartidos y servicios para toda la organización. Desde una perspectiva de inversión, la arquitectura de segmento impulsa las
decisiones para un caso comercial o grupo de casos comerciales que respaldan áreas de misión específicas o servicios comunes/
compartidos. Las principales partes interesadas de la arquitectura de segmento son los propietarios de la misión/negocio.
Siguiendo de cerca la arquitectura del segmento, la arquitectura de la solución define los activos de tecnología de la información
dentro de las organizaciones que se utilizan para automatizar y mejorar los procesos de misión/negocio. El alcance de la
arquitectura de la solución se utiliza normalmente para desarrollar e implementar la totalidad o parte de los sistemas de
información o soluciones comerciales, incluidas las soluciones de seguridad de la información. Las partes interesadas principales
de las arquitecturas de soluciones son los desarrolladores e integradores de sistemas de información, los propietarios de sistemas
de información, los ingenieros de seguridad/sistemas de información y los usuarios finales.
Las organizaciones aplican los conceptos de FEA que definen los procesos comerciales basados en el rendimiento y basados
en las necesidades, reconociendo que la gestión eficaz del riesgo que surge de operar en un entorno del ciberespacio con
amenazas sofisticadas y de alto nivel es una necesidad clave y una medida del rendimiento.
36La Arquitectura Empresarial Federal se describe en una serie de documentos publicados por la Oficina de Gestión del Programa OMB
FEA. Se puede encontrar información adicional sobre los modelos de referencia de FEA y las arquitecturas de segmento y solución en el
Documento de modelo de referencia consolidado de FEA y la Guía práctica de FEA, respectivamente.
____________________________________________________________________________________________________________________
La arquitectura empresarial también promueve los conceptos desegmentación,redundancia, y eliminación de

puntos únicos de falla—Todos los conceptos que pueden ayudar a las organizaciones a administrar el riesgo de
manera más efectiva. La segmentación es importante porque permite a las organizaciones separar misiones/
funciones comerciales y operaciones y los sistemas de información, componentes del sistema o subsistemas que
respaldan esas misiones, funciones y operaciones de otras funciones y operaciones y sistemas de soporte. La
segmentación ayuda a definir componentes más manejables y a reducir potencialmente el grado de daño de una
amenaza exitosa que explota una vulnerabilidad. La arquitectura de segmentos respalda el concepto de
segmentación en los niveles más altos de las organizaciones y el concepto se traslada a través de la arquitectura de
soluciones (incluida la descomposición de los sistemas y redes de información en subsistemas y subredes, según
corresponda).
El concepto de redundancia también es muy importante en la arquitectura empresarial.

Con la alta probabilidad de violaciones o compromisos cuando las amenazas aprovechan
las vulnerabilidades en los sistemas de información organizacionales, la falla o degradación
de uno o más componentes del sistema de información es inevitable. Para mejorar la
resiliencia del sistema de información como parte de la respuesta al riesgo, los sistemas de
información de la organización brindan un modo de conmutación por error que ayuda a
garantizar que los componentes fallidos activen los componentes de respaldo apropiados
con una capacidad similar. Este tipo de capacidad es esencial para hacer frente a la
amenaza persistente avanzada en situaciones en las que las organizaciones pueden verse
obligadas a operar bajo un ataque cibernético en un modo degradado, pero aún así
brindan un nivel suficiente de capacidad para lograr el éxito de la misión/negocio.
Finalmente, el concepto de punto único de falla y la eliminación de dichos puntos de falla es fácilmente compatible
con la arquitectura empresarial. Tener la visibilidad y la transparencia esenciales provistas en el diseño
arquitectónico a nivel de organización expone posibles puntos únicos de falla al principio del proceso de
desarrollo. Por lo tanto, los puntos únicos de falla se abordan de manera efectiva mediante arquitecturas de
segmento y solución. Si no se abordan los posibles puntos únicos de falla al principio del diseño arquitectónico, se
pueden producir efectos graves o catastróficos cuando esos puntos de falla se propagan a los sistemas de
información y la falla real provoca una pérdida de la misión/capacidad empresarial.
2.4.3 Arquitectura de seguridad de la información
Elarquitectura de seguridad de la informaciónes una parte integral de la arquitectura empresarial de la organización.

Representa esa parte de la arquitectura empresarial que aborda específicamente la resiliencia del sistema de información
y proporciona información arquitectónica para la implementación de capacidades de seguridad.37El propósito principal de
la arquitectura de seguridad de la información es garantizar que la misión o el proceso empresarialrequisitos de
seguridad de la informaciónse logran de manera consistente y rentable en los sistemas de información de la organización
y los entornos en los que esos sistemas operan de manera consistente con la estrategia de gestión de riesgos de la
organización.38La arquitectura de seguridad de la información también incorpora los requisitos de seguridad de la
legislación, las directivas, las políticas, los reglamentos, los estándares y la orientación en la arquitectura del segmento. En
última instancia, la arquitectura de seguridad de la información proporciona una hoja de ruta detallada que permite la
trazabilidad desde las metas y objetivos estratégicos de más alto nivel de las organizaciones, a través de las necesidades
específicas de protección de la misión/negocio, hasta las soluciones específicas de seguridad de la información
proporcionadas por las personas, los procesos y las tecnologías.
37En general, existe una versión de una arquitectura de seguridad de la información para cada una de las arquitecturas empresariales.
modelos de referencia;incluyendo rendimiento, negocio, componente de servicio, datos y técnico.
38Las organizaciones emplean principios y técnicas sólidos de ingeniería de sistemas y seguridad para garantizar que los requisitos de seguridad de
la información se implementen de manera efectiva en los sistemas de información de la organización.
____________________________________________________________________________________________________________________
Los requisitos de seguridad de la información definidos en la arquitectura del segmento se implementan en la

arquitectura de la solución en forma de gestión, operaciones y técnicas.controles de seguridad. Los controles de
seguridad se emplean dentro o son heredados por los sistemas de información individuales y los entornos en los
que operan los sistemas. la asignación39de los controles de seguridad es consistente con la arquitectura de
seguridad de la información, así como con conceptos tales comodefensa en profundidadydefensa en amplitud. La
Figura 3 ilustra el proceso de integración de los requisitos de seguridad de la información en la arquitectura
empresarial y los sistemas de información asociados que respaldan la misión/procesos comerciales de las
organizaciones.
ESTRATEGIA DE GESTIÓN DE RIESGOS
Misión / Negocio Misión / Negocio Misión / Negocio

Proceso Proceso Proceso
INFORMA INFORMA
ARQUITECTURA EMPRESARIAL
(Modelos de referencia, Arquitectura de segmento, Arquitectura de solución)
ARQUITECTURA DE SEGURIDAD DE LA INFORMACIÓN

(Requisitos de seguridad y asignación de control)
INFORMA INFORMA
INFORMACIÓN INFORMACIÓN INFORMACIÓN

SISTEMA SISTEMA SISTEMA
Ambientes de Operación
FIGURA 3: INTEGRACIÓN DE REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN
Para resumir, las consideraciones de gestión de riesgos pueden abordarse como parte integral de la arquitectura
empresarial mediante:
• Desarrollar una arquitectura de segmento vinculada a las metas y objetivos estratégicos de las
organizaciones, misiones definidas/funciones comerciales y misión/procesos comerciales
asociados;
• Identificar dónde la respuesta efectiva al riesgo es un elemento crítico en el éxito de las misiones
organizacionales y las funciones comerciales;
• Definir los requisitos de seguridad de la información apropiados a nivel de arquitectura dentro de los segmentos
definidos por la organización en función de la estrategia de gestión de riesgos de la organización;
• Incorporar una arquitectura de seguridad de la información que implemente requisitos de seguridad de la

información a nivel arquitectónico;
39La asignación de control de seguridad ocurre hasta el nivel de componente del sistema de información, empleando controles de seguridad en
componentes de sistema seleccionados asignados para proporcionar una capacidad de seguridad específica. En el Perfil de seguridad y privacidad de
FEA se proporciona orientación específica sobre cómo incorporar los requisitos de seguridad de la información en la arquitectura empresarial.
____________________________________________________________________________________________________________________
• Traducir los requisitos de seguridad de la información de la arquitectura del segmento en controles de seguridad
específicos para los sistemas de información/entornos de operación como parte de la arquitectura de la solución;
• Asignar controles de seguridad de gestión, operativos y técnicos a los sistemas de información y

entornos de operación según lo definido por la arquitectura de seguridad de la información; y
• Documentar las decisiones de gestión de riesgos en todos los niveles de la arquitectura empresarial.40
La arquitectura empresarial proporciona un enfoque disciplinado y estructurado para lograr la consolidación,

estandarización y optimización de los activos de tecnología de la información que se emplean dentro de las
organizaciones. La reducción del riesgo puede lograrse mediante la plena integración de los procesos de gestión41
en toda la organización, lo que proporciona mayores grados de seguridad, privacidad, confiabilidad y rentabilidad
para las misiones y funciones comerciales que llevan a cabo las organizaciones. Este enfoque integrado de
incorporar la estrategia de gestión de riesgos de la organización en la arquitectura empresarial brinda a los
líderes/ejecutivos senior la oportunidad de tomar decisiones basadas en riesgos más informadas en entornos
operativos dinámicos, decisiones basadas en compensaciones entre cumplir y mejorar las misiones
organizacionales y las funciones comerciales y administrar los muchos tipos y fuentes de riesgo que deben ser
considerados en sus responsabilidades de gestión de riesgos.
El uso de la arquitectura empresarial puede mejorar en gran medida la postura de riesgo de una organización al
proporcionar una mayor transparencia y claridad en las actividades de diseño y desarrollo, lo que permite una
aplicación más consistente del principio de 'uso inteligente' de las tecnologías en toda la organización; optimizar las
compensaciones entre el valor obtenido y el riesgo de que se incurra a través de los sistemas de información que
respaldan las misiones organizacionales / funciones comerciales.
2.5 NIVEL TRES-VISTA DE SISTEMAS DE INFORMACIÓN
Todos los sistemas de información, incluidos los sistemas operativos, los sistemas en desarrollo y los sistemas en proceso
de modificación, se encuentran en alguna fase del ciclo de vida del desarrollo del sistema.42Además de las actividades de
gestión de riesgos llevadas a cabo en el Nivel 1 y el Nivel 2 (p. ej., reflejando la estrategia de gestión de riesgos de la
organización dentro de la arquitectura empresarial y la arquitectura de seguridad de la información integrada), las
actividades de gestión de riesgos también se integran en el ciclo de vida de desarrollo del sistema de información
organizacional. sistemas en el Nivel 3. Las actividades de gestión de riesgos en el Nivel 3 reflejan la estrategia de gestión
de riesgos de la organización y cualquier riesgo relacionado con los requisitos de costo, cronograma y desempeño para
los sistemas de información individuales que respaldan la misión/funciones comerciales de las organizaciones. Las
actividades de gestión de riesgos tienen lugar en cada fase del ciclo de vida del desarrollo del sistema y los resultados de
cada fase tienen un efecto en las fases posteriores.
40Las actividades requeridas para incorporar de manera efectiva la seguridad de la información en la arquitectura empresarial las llevan a cabo las
partes interesadas clave dentro de las organizaciones, incluidos los propietarios de la misión/negocio, los directores de información, los directores de
seguridad de la información, los funcionarios autorizados y el ejecutivo de riesgo (función).
41Un proceso de gestión es un proceso para planificar y controlar el desempeño o la ejecución de las actividades de la
organización (por ejemplo, programas, proyectos, tareas, procesos). Los procesos de gestión a menudo se denominan
sistemas de gestión y medición del desempeño.
42Por lo general, hay cinco fases en los ciclos de vida del desarrollo del sistema: (i)iniciación; (ii)desarrollo / adquisición; (iii) implementación;
(iv)Operación y mantenimiento; y V)disposición. Las organizaciones pueden usar una variedad de procesos de ciclo de vida de desarrollo de
sistemas que incluyen, por ejemplo, desarrollo en cascada, en espiral o ágil.
____________________________________________________________________________________________________________________
Por ejemplo, la definición de requisitos43es una parte crítica de cualquier proceso de desarrollo de sistemas y
comienza muy temprano en el ciclo de vida, típicamente en eliniciaciónfase. La información más reciente sobre
amenazas que está disponible para las organizaciones, o los supuestos organizacionales actuales con respecto a
las amenazas, pueden influir significativamente en los requisitos del sistema de información y los tipos de
soluciones que las organizaciones consideran aceptables (desde una perspectiva tecnológica y operativa) frente a
tales amenazas. . Los requisitos de seguridad de la información son un subconjunto de los requisitos funcionales
impuestos a los sistemas de información y se incorporan al ciclo de vida del desarrollo del sistema
simultáneamente con los demás requisitos. Los requisitos de seguridad de la información definen la funcionalidad
de seguridad necesaria44para los sistemas de información y el nivel de confiabilidad para esa funcionalidad (ver la
Sección 2.6 sobre la confiabilidad de los sistemas de información).
Las organizaciones también abordan cuestiones de gestión de riesgos durante ladesarrollo / adquisiciónfase del ciclo de
vida del desarrollo del sistema (por ejemplo, diseño del sistema, desarrollo/integración del sistema y demostración). Ya
sea en respuesta a información de amenaza específica y creíble o suposiciones sobre la amenaza, las vulnerabilidades
potenciales relacionadas con el diseño en los sistemas de información organizacionales pueden mitigarse durante esta
fase eligiendo alternativas menos susceptibles. El riesgo de la cadena de suministro durante la fase de adquisición del
sistema de información también es un área de preocupación para las organizaciones. Para abordar el riesgo de la cadena
de suministro durante la fase de desarrollo/adquisición, las organizaciones implementan controles de seguridad
específicos según lo considere necesario la organización. Las organizaciones también consideran el riesgo desde el punto
de vista del entorno en el que se pretende que operen los sistemas de información al seleccionar los controles de
seguridad más apropiados. Ser efectivo, los controles deben apoyarse mutuamente, emplearse con expectativas realistas
de eficacia e implementarse como parte de una arquitectura de seguridad explícita a nivel del sistema de información que
sea coherente con la arquitectura de seguridad integrada en la arquitectura empresarial de la organización. Por ejemplo,
cuando ciertos controles técnicos son menos que efectivos debido a los niveles alcanzables de confiabilidad en los
sistemas de información de la organización, los controles operativos y de gestión se emplean como controles de
compensación, brindando así otra oportunidad para administrar el riesgo.
Después de la iniciación, el desarrollo y la adquisición, elimplementaciónLa fase del ciclo de vida del desarrollo del
sistema brinda una oportunidad para que la organización determine la efectividad de los controles de seguridad
seleccionados empleados dentro o heredados por los sistemas de información en desarrollo antes del comienzo de
las operaciones reales. Las expectativas generadas durante esta fase se pueden comparar con el comportamiento
real a medida que se implementan los sistemas de información. Dada la información actual sobre amenazas que
está disponible para las organizaciones y los supuestos organizacionales sobre la amenaza, la información
descubierta durante las evaluaciones de efectividad y los posibles impactos adversos en las misiones/funciones
comerciales de la organización, puede ser necesario modificar o cambiar la implementación planificada de la
información. sistema. Se puede desarrollar información relacionada con el riesgo para justificar los cambios
propuestos.
Una vez aprobados para su operación, los sistemas de información pasan a laoperaciones / mantenimientofase del ciclo de
vida de desarrollo del sistema. El seguimiento de la eficacia del control de seguridad y cualquier cambio en los sistemas de
información de la organización y los entornos en los que operan esos sistemas garantizan que las medidas de respuesta a
los riesgos seleccionadas funcionen según lo previsto de forma continua. El monitoreo continuo es fundamental para
mantener la conciencia situacional del riesgo para las misiones organizacionales y las funciones comerciales, una
conciencia que es fundamental para tomar el rumbo necesario.
43Los requisitos de seguridad de la información se pueden obtener de una variedad de fuentes (p. ej., legislación, políticas, directivas,
reglamentos, estándares y requisitos de misión/negocio/operativos de la organización).
44La funcionalidad de seguridad es el conjunto de controles de seguridad empleados dentro o heredados por un sistema de información
o el entorno en el que opera el sistema. Los controles de seguridad, descritos en la Publicación Especial NIST 800-53, son implementados
por una combinación de personas, procesos y tecnologías.
____________________________________________________________________________________________________________________
correcciones cuando el riesgo excede la tolerancia al riesgo organizacional. Durante eldisposiciónfase del ciclo de vida del
desarrollo del sistema, es un procedimiento estándar para que las organizaciones eliminen de manera verificable antes de su
eliminación, cualquier información de los sistemas de información que pueda causar impactos adversos, si se ven
comprometidos, y también evaluar cualquier riesgo asociado con estas actividades.45
La integración temprana de los requisitos de seguridad de la información en el ciclo de vida del desarrollo
del sistema es el método más rentable para implementar la estrategia de gestión de riesgos de la
organización en el Nivel 3.46La incorporación de la gestión de riesgos en el ciclo de vida del desarrollo del
sistema garantiza que el proceso de gestión de riesgos no esté aislado de los demás procesos de gestión
empleados por la organización para desarrollar, adquirir, implementar, operar y mantener los sistemas de
información que respaldan las misiones organizacionales y las funciones comerciales. Para respaldar la
integración del ciclo de vida del desarrollo del sistema, la gestión de riesgos (incluidas las consideraciones
de seguridad de la información) también se incorpora en las actividades de programación, planificación y
presupuestación para ayudar a garantizar que los recursos apropiados estén disponibles cuando sea
necesario, lo que facilita la finalización de los hitos de programas y proyectos establecidos por las
organizaciones. . Incorporar la gestión de riesgos en las actividades de programación, planificación y
presupuestación,
El generalResilienciade los sistemas de información de la organización (es decir, qué tan bien funcionan los sistemas bajo
estrés) es un factor clave y una medida de desempeño para determinar la capacidad de supervivencia potencial de las
misiones/funciones comerciales. El uso de ciertas tecnologías de la información puede introducir vulnerabilidades
inherentes en estos sistemas de información, lo que genera un riesgo que puede tener que mitigarse mediante la
reingeniería de la misión/procesos comerciales actuales. Eluso inteligentede las tecnologías de la información durante el
diseño, desarrollo e implementación de los sistemas de información de la organización es de suma importancia en la
gestión de riesgos.
Hacer que los requisitos y actividades relacionados con la seguridad de la información sean una parte integral del ciclo de vida
del desarrollo del sistema garantiza que los líderes/ejecutivos senior consideren los riesgos para las operaciones y los activos de
la organización, las personas, otras organizaciones y la Nación que resultan de la operación y el uso de los sistemas de
información y tomar las medidas apropiadas para ejercer la debida diligencia de la organización.
2.6 CONFIANZA Y CONFIANZA

Confianzaes un concepto importante relacionado con la gestión de riesgos. La forma en que las organizaciones abordan
la confianza influye en sus comportamientos y en sus relaciones de confianza internas y externas. Esta sección presenta
algunas formas conceptuales de pensar sobre la confianza, define el concepto deintegridad, y muestra cómo se puede
utilizar el concepto de confiabilidad en el desarrollorelaciones de confianza. El Apéndice G describe variosmodelos de
confianzaque se pueden aplicar en un contexto organizacional, y
45Si bien la presentación del ciclo de vida del desarrollo del sistema se expresa como un flujo lineal, en realidad, el conocimiento obtenido
durante una fase posterior del ciclo de vida o los cambios en los requisitos del sistema o los entornos operativos pueden dictar la revisión de
una fase anterior. Por ejemplo, los cambios en el entorno de amenazas durante la fase de operación/mantenimiento pueden dictar la
necesidad de iniciar una capacidad del sistema nueva o revisada.
46El marco de gestión de riesgos (RMF), descrito en la publicación especial 800-37 del NIST, proporciona un proceso estructurado que integra
las actividades de gestión de riesgos en el ciclo de vida del desarrollo del sistema. La RMF opera principalmente en el Nivel 3, pero también
interactúa con los Niveles 1 y 2 (p. ej., brinda retroalimentación de las decisiones de autorización al ejecutivo de riesgos [función], difunde
información actualizada sobre riesgos a los funcionarios autorizadores, proveedores de control común y propietarios del sistema de
información).
____________________________________________________________________________________________________________________
considera cómo se puede medir la confianza. La importancia del gobierno organizacional, la cultura y la
transparencia47también se consideran con respecto a la confianza y su efecto en la gestión de riesgos.
La confianza es la creencia de que una entidad se comportará de manera predecible en circunstancias específicas. La
entidad puede ser una persona, un proceso, un objeto o cualquier combinación de dichos componentes. La entidad puede
ser de cualquier tamaño, desde un solo componente de hardware o módulo de software hasta un equipo identificado por
marca y modelo, un sitio o ubicación, una organización o un estado-nación. La confianza, si bien es inherentemente una
determinación subjetiva, puede basarse en pruebas objetivas y elementos subjetivos. Los motivos objetivos para la
confianza pueden incluir, por ejemplo, los resultados de las pruebas y evaluaciones de productos de tecnología de la
información. La creencia subjetiva, el nivel de comodidad y la experiencia pueden complementar (o incluso reemplazar) la
evidencia objetiva, o sustituir dicha evidencia cuando no está disponible. La confianza suele ser relativa a una circunstancia
o situación específica (por ejemplo, la cantidad de dinero involucrada en una transacción, la sensibilidad o criticidad de la
información, o si la seguridad es un problema con vidas humanas en juego). La confianza generalmente no es transitiva (p.
ej., confías en un amigo pero no necesariamente en el amigo de un amigo). Finalmente, la confianza generalmente se
gana, con base en la experiencia o la medición. Sin embargo, en ciertas organizaciones, la confianza puede ser obligatoria
por política (consulte el Apéndice G,modelo de confianza obligatorio).
Integridades un atributo de una persona u organización que brinda confianza a otros sobre las calificaciones,
capacidades y confiabilidad de esa entidad para realizar tareas específicas y cumplir con las responsabilidades
asignadas. La confiabilidad también es una característica de los productos y sistemas de tecnología de la
información (consulte la Sección 2.6.2 sobreconfiabilidad de los sistemas de información). El atributo de
confiabilidad, ya sea que se aplique a personas, procesos o tecnologías, se puede medir, al menos en términos
relativos, si no cuantitativamente.48La determinación de la confiabilidad juega un papel clave en el establecimiento
de relaciones de confianza entre personas y organizaciones. Las relaciones de confianza son factores clave en las
decisiones de riesgo que toman los líderes/ejecutivos senior.
2.6.1 Establecimiento de confianza entre organizaciones
Las partes entablan relaciones de confianza basadas en la misión y las necesidades comerciales.49La confianza entre las
partes generalmente existe a lo largo de un continuo con diversos grados de confianza logrados en función de una serie
de factores. Las organizaciones aún pueden compartir información y obtener servicios de tecnología de la información
incluso si su relación de confianza no alcanza la confianza total. El grado de confianza requerido para que las
organizaciones establezcan asociaciones puede variar ampliamente en función de muchos factores, incluidas las
organizaciones involucradas y los detalles de la situación (p. ej., las misiones, metas y objetivos de los socios potenciales, la
criticidad/sensibilidad de las actividades involucradas en la asociación, la tolerancia al riesgo de las organizaciones que
participan en la asociación y la relación histórica entre los participantes). Finalmente, el grado de confianza entre las
entidades no es una cualidad estática sino que puede variar con el tiempo a medida que cambian las circunstancias.
47Transparenciase logra proporcionandovisibilidaden las actividades de gestión de riesgos y seguridad de la información llevadas a cabo por
organizaciones que participan en asociaciones (p. ej., empleando estándares de seguridad comunes, lenguaje de especificación para controles de
seguridad, incluidos controles comunes, procedimientos de evaluación, metodologías de evaluación de riesgos; definiendo artefactos comunes y
cuerpos de evidencia utilizados para tomar decisiones de riesgo). -decisiones relacionadas).
48Estado actual de la práctica para medirintegridadpuede diferenciar de manera confiable entre niveles muy diferentes de
confiabilidad y es capaz de producir una escala de confiabilidad que es jerárquica entre instancias similares de actividades de
medición (por ejemplo, los resultados de las evaluaciones ISO / IEC 15408 [Common Criteria]).
49Las relaciones de confianza pueden: (i) establecerse formalmente, por ejemplo, documentando la información relacionada con la
confianza en contratos, acuerdos de nivel de servicio, declaraciones de trabajo, memorandos de acuerdo/entendimiento o acuerdos de
seguridad de interconexión; (ii) de naturaleza escalable e interorganizacional o intraorganizacional; y/o (iii) representado por relaciones
simples (bilaterales) entre dos socios o relaciones más complejas de muchos a muchos entre muchos socios diversos.
____________________________________________________________________________________________________________________
Las organizaciones dependen cada vez más de los servicios de sistemas de información50e información
proporcionada por organizaciones externas, así como asociaciones para cumplir misiones y funciones comerciales.
Esta dependencia se traduce en la necesidad derelaciones de confianzaentre organizaciones.51En muchos casos, las
relaciones de confianza con organizaciones externas, si bien generan una mayor productividad y rentabilidad,
también pueden generar un mayor riesgo para las organizaciones. Este riesgo es abordado por las estrategias de
gestión de riesgos establecidas por las organizaciones que tienen en cuenta las metas y objetivos estratégicos de
las organizaciones.
Abordar de manera efectiva el riesgo asociado con la creciente dependencia de proveedores de servicios
externos y asociaciones con participantes del sector público y privado nacionales e internacionales requiere que
las organizaciones:
• Definir los tipos de servicios/información que se brindarán a las organizaciones o los tipos de
información que se compartirán/intercambiarán en cualquier acuerdo de asociación propuesto;
• Establecer el grado de control o influencia que tienen las organizaciones sobre las
organizaciones externas que participan en dichos acuerdos de asociación;
• Describir cómo se protegerán los servicios/la información de acuerdo con los requisitos de seguridad
de la información de las organizaciones;
• Obtener la información relevante de organizaciones externas para determinar la confiabilidad y respaldar y

mantener la confianza (p. ej., visibilidad de las prácticas comerciales y decisiones de seguridad de la información/
riesgos para comprender la tolerancia al riesgo);
• Equilibrar adecuadamente los requisitos basados en la misión/negocio para respaldar el intercambio de información
mientras se considera el riesgo de trabajar con entidades competidoras u hostiles y el riesgo de que otras
organizaciones, aunque no sean competidoras ni hostiles, puedan ser un camino a través del cual dichas entidades
ataquen;
• Determinar si el riesgo continuo para las operaciones y los activos de la organización, las personas, otras
organizaciones o la Nación como resultado del uso continuo de los servicios/información o la participación
en la asociación se encuentra en un nivel aceptable; y
• Reconocer que las decisiones de establecer relaciones de confianza son expresiones de riesgo aceptable.
El grado de confianza que una organización deposita en organizaciones externas puede variar
ampliamente, desde aquellos en los que se confía mucho (por ejemplo, socios comerciales en una
empresa conjunta que comparten un modelo de negocio común y metas comunes) hasta aquellos en
los que se confía menos y que pueden representar mayores fuentes de riesgo (por ejemplo, socios
comerciales en un esfuerzo que también son competidores o adversarios). Los detalles de establecer
y mantener la confianza pueden diferir de una organización a otra en función de los requisitos de la
misión/negocio, los participantes involucrados en la relación de confianza, la criticidad/sensibilidad
de la información que se comparte o los tipos de servicios que se prestan, la historia entre las
organizaciones , y el riesgo general para las organizaciones que participan en la relación.
En muchas situaciones, la confianza establecida entre organizaciones puede no permitir un espectro completo de
intercambio de información o una provisión completa de servicios. Cuando una organización determina que
50Los servicios de sistemas de información externos son servicios que se implementan fuera del límite de autorización tradicional del sistema
(es decir, servicios que son utilizados por el sistema de información de la organización, pero que no forman parte de él).
51Los proveedores externos o socios comerciales/de misión pueden ser entidades del sector público o privado, nacionales o internacionales.
____________________________________________________________________________________________________________________
la confiabilidad de otra organización no permite el intercambio completo de información o el uso de servicios

externos, la organización puede: (i) mitigar el riesgo, transferir el riesgo o compartir el riesgo mediante el
empleo de uno o más controles de compensación; (ii) aceptar un mayor grado de riesgo; o (iii) evitar el riesgo
realizando misiones/funciones comerciales con niveles reducidos de funcionalidad o posiblemente sin
funcionalidad alguna.
La comprensión y aceptación explícitas del riesgo para las operaciones y los activos de una organización, las
personas, otras organizaciones y la Nación por parte de los líderes/ejecutivos superiores (que reflejan la
tolerancia al riesgo de la organización) se hacen de acuerdo con la estrategia de gestión de riesgos de la
organización y un requisito previo para establecer la confianza. relaciones entre organizaciones.
2.6.2 Confiabilidad de los Sistemas de Información

El concepto de confiabilidad también se puede aplicar a los sistemas de información y los productos y servicios de
tecnología de la información que componen esos sistemas. La confiabilidad expresa el grado en que se puede
esperar que los sistemas de información (incluidos los productos de tecnología de la información a partir de los
cuales se construyen los sistemas) preserven la confidencialidad, integridad y disponibilidad de la información que
los sistemas procesan, almacenan o transmiten en toda la gama. de amenazas Los sistemas de información
confiables son sistemas que se ha determinado que tienen el nivel de confiabilidad necesario para operar dentro
de niveles definidos deriesgoa pesar de las interrupciones ambientales, los errores humanos y los ataques
intencionales que se espera que ocurran en sus entornos de operación. Dos factores que afectan la confiabilidad
de los sistemas de información son:
• Funcionalidad de seguridad(es decir, las características/funciones de seguridad empleadas dentro del sistema); y
• garantía de seguridad(es decir, los motivos para confiar en que la funcionalidad de seguridad es efectiva en
su aplicación).52
La funcionalidad de seguridad se puede obtener empleando dentro de los sistemas de información de la

organización y sus entornos de operación, una combinación de controles de seguridad de gestión, operativos y
técnicos de la Publicación especial 800-53 del NIST.53El desarrollo y la implementación de los controles de
seguridad necesarios están guiados e informados por la arquitectura empresarial establecida por las
organizaciones.
El aseguramiento de la seguridad es un aspecto crítico para determinar la confiabilidad de los sistemas de información.
La garantía es la medida de confianza de que las características, prácticas, procedimientos y arquitectura de seguridad
de un sistema de información median y hacen cumplir con precisión la política de seguridad.54
La seguridad se obtiene mediante: (i) las acciones tomadas por los desarrolladores e implementadores55con
respecto al diseño, desarrollo, implementación y operación de la funcionalidad de seguridad (es decir, controles
de seguridad); y (ii) las acciones tomadas por los evaluadores para determinar hasta qué punto la funcionalidad se
implementa correctamente, opera según lo previsto y produce el resultado deseado.
52La seguridad también representa la base para confiar en que la funcionalidad prevista de un sistema de información es correcta,
siempre se invoca (cuando es necesario) y es resistente a la omisión o manipulación.
53El empleo de controles de seguridad apropiados para los sistemas de información y los entornos de operación se guía por los
primeros tres pasos en el marco de gestión de riesgos (es decir, categorización, selección e implementación).
54A politica de seguridades un conjunto de criterios para la prestación de los servicios de seguridad.
55En este contexto, un desarrollador/implementador es una persona o grupo de personas responsables del diseño, desarrollo,
implementación u operación de controles de seguridad para un sistema de información o infraestructura de soporte.
____________________________________________________________________________________________________________________
con respecto al cumplimiento de los requisitos de seguridad de los sistemas de información y sus entornos de operación.
56 Los desarrolladores e implementadores pueden aumentar la garantía en la funcionalidad de seguridad mediante el
empleo de políticas y modelos de políticas de seguridad bien definidos, técnicas de desarrollo de software y hardware
estructuradas y rigurosas, y principios sólidos de ingeniería de sistemas/seguridad.
El aseguramiento de los productos y sistemas de tecnología de la información se basa comúnmente en las

evaluaciones realizadas (y la evidencia de evaluación asociada producida) durante las fases de inicio, adquisición/
desarrollo, implementación y operaciones/mantenimiento del ciclo de vida de desarrollo del sistema. Por ejemplo,
la evidencia de desarrollo puede incluir las técnicas y los métodos utilizados para diseñar y desarrollar la
funcionalidad de seguridad. La evidencia operativa puede incluir el informe y la reparación de fallas, los resultados
del informe de incidentes de seguridad y los resultados del monitoreo continuo del control de seguridad. Las
evaluaciones independientes realizadas por evaluadores calificados pueden incluir análisis de la evidencia, así
como pruebas, inspecciones y auditorías de la implementación de la funcionalidad de seguridad seleccionada.57
Los conceptos de seguridad y confiabilidad están íntimamente relacionados. El aseguramiento

contribuye a la determinación de la confiabilidad en relación con un producto de tecnología de la
información o un sistema de información. Los desarrolladores/implementadores de productos o
sistemas de tecnología de la información pueden proporcionar evidencia de aseguramiento al
generar artefactos apropiados (p. ej., los resultados de pruebas y evaluaciones independientes,
documentación de diseño, especificaciones de alto o bajo nivel, análisis de código fuente). Las
organizaciones que utilizan productos o sistemas de tecnología de la información pueden
realizar, o confiar en que otros realicen, algún tipo de evaluación de los productos o sistemas.
Las organizaciones también pueden tener experiencia directa con el producto o sistema, o
pueden recibir información sobre el rendimiento del producto o sistema de terceros.
Se espera que los productos y sistemas de tecnología de la información que muestren un mayor grado de confiabilidad (es
decir, productos/sistemas que tengan la funcionalidad y la garantía adecuadas) muestren una tasa más baja de fallas
latentes de diseño e implementación y un mayor grado de resistencia a la penetración contra una variedad de amenazas,
incluidas amenazas sofisticadas. ataques cibernéticos, desastres naturales, accidentes y errores intencionales / no
intencionales. La susceptibilidad de las misiones/funciones comerciales de las organizaciones a las amenazas conocidas,
los entornos de operación donde se implementan los sistemas de información y el nivel máximo aceptable de riesgo para
las operaciones y los activos de la organización, las personas, otras organizaciones o la Nación, guían el grado de
confiabilidad. necesario.
La confiabilidad es un factor clave en la selección y el uso inteligente de los productos de tecnología de la información
utilizados en los sistemas de información organizacionales. La atención insuficiente a la confiabilidad de los productos y
sistemas de tecnología de la información puede afectar negativamente la capacidad de una organización para llevar a cabo con
éxito sus misiones/funciones comerciales asignadas.
56Para sistemas de seguridad distintos a los nacionales, las organizaciones cumplen con los requisitos mínimos de garantía especificados en la
Publicación especial 800-53 del NIST, Apéndice E.
57La publicación especial NIST 800-53A brinda orientación sobre la evaluación de los controles de seguridad en los sistemas de información federales.
____________________________________________________________________________________________________________________
2.7 CULTURA ORGANIZACIONAL

Organizativoculturase refiere a los valores, creencias y normas que influyen en los
comportamientos y acciones de los líderes/ejecutivos senior y miembros individuales de
las organizaciones. La cultura describe la forma en que se hacen las cosas en las
organizaciones y puede explicar por qué ocurren ciertas cosas. Existe una relación directa
entre la cultura organizacional y la forma en que las organizaciones responden a las
incertidumbres y el potencial de que los beneficios a corto plazo sean la fuente de pérdidas
a más largo plazo. La cultura de la organización informa e incluso, quizás en gran medida,
define la estrategia de gestión de riesgos de esa organización. Como mínimo, cuando una
estrategia de gestión de riesgos expresada no es coherente con la cultura de esa
organización, entonces es probable que la estrategia sea difícil, si no imposible, de
implementar.
Es importante reconocer el impacto de la cultura organizacional en la implementación de un programa de gestión de

riesgos en toda la organización, ya que esto puede reflejar un cambio organizacional importante. Este cambio debe
administrarse de manera efectiva y comprender la cultura de una organización juega un papel importante para lograr
dicho cambio en toda la organización. La implementación de un programa eficaz de gestión de riesgos bien puede
representar un cambio significativo en toda la organización que alinee a las personas, los procesos y la cultura dentro de
la organización con las metas y objetivos nuevos o revisados de la organización, la estrategia de gestión de riesgos y los
mecanismos de comunicación para compartir información relacionada con los riesgos. entre entidades. Para gestionar
eficazmente dicho cambio, Las organizaciones incluyen consideraciones culturales como un componente fundamental
en sus procesos de pensamiento y toma de decisiones a nivel estratégico (por ejemplo, el desarrollo de la estrategia de
gestión de riesgos). Si los líderes/ejecutivos sénior entienden la importancia de la cultura, tienen una mejor oportunidad
de lograr las metas y objetivos estratégicos de la organización mediante la gestión exitosa del riesgo.
La cultura también afecta el grado de riesgo en el que se incurre. La cultura se refleja en la voluntad de una
organización de adoptar tecnologías de la información nuevas y de vanguardia. Por ejemplo, es más
probable que las organizaciones que se dedican a actividades de investigación y desarrollo superen los
límites tecnológicos. Tales organizaciones son más propensas a ser las primeras en adoptar nuevas
tecnologías y, por lo tanto, es más probable que vean las nuevas tecnologías desde el punto de vista de los
beneficios potenciales logrados frente al daño potencial del uso. Por el contrario, las organizaciones que se
dedican a actividades relacionadas con la seguridad pueden ser más conservadoras por naturaleza y menos
propensas a traspasar los límites tecnológicos, desconfiando más de las nuevas tecnologías, especialmente
si las proporciona alguna entidad con la que la organización no está familiarizada ni confía. Estos tipos de
organizaciones también tienen menos probabilidades de ser los primeros en adoptar nuevas tecnologías y
estarían más inclinados a observar el daño potencial causado por la adopción de nuevas tecnologías. Otro
ejemplo es que algunas organizaciones tienen un historial de desarrollo de aplicaciones y servicios de
software patentados, o de adquisición de aplicaciones y servicios de software únicamente para su uso. Estas
organizaciones pueden ser reacias a utilizar aplicaciones y servicios de software proporcionados
externamente y esta renuencia puede dar lugar a que se incurra en un menor riesgo. Otras organizaciones
pueden, por otro lado, buscar maximizar las ventajas logradas por las arquitecturas modernas centradas en
la red (por ejemplo, arquitecturas orientadas a servicios, computación en la nube), donde el hardware, el
software y los servicios generalmente son proporcionados por organizaciones externas.
Además de los impactos culturales en las perspectivas de gestión de riesgos organizacionales, también puede
haber problemas culturales entre organizaciones. Cuando dos o más organizaciones operan juntas hacia un
propósito común, existe la posibilidad de que las diferencias culturales en cada una de las respectivas
organizaciones puedan resultar en diferentes estrategias de gestión de riesgos, propensión a incurrir en riesgos y
____________________________________________________________________________________________________________________
voluntad de aceptar el riesgo.58Por ejemplo, suponga que dos organizaciones están trabajando juntas para crear un
servicio de seguridad común destinado a abordar la amenaza persistente avanzada. La cultura de una de las
organizaciones puede resultar en un enfoque en la prevención de la divulgación no autorizada de información, mientras
que la naturaleza de la otra organización puede resultar en un énfasis en la continuidad de la misión. Las diferencias de
enfoque y énfasis resultantes de la cultura organizacional pueden generar diferentes prioridades y expectativas con
respecto a qué servicios de seguridad contratar, porque las organizaciones perciben la naturaleza de la amenaza de
manera diferente. Tales desconexiones relacionadas con la cultura no ocurren únicamente entre organizaciones, sino que
también pueden ocurrir dentro de las organizaciones, donde diferentes componentes organizacionales (por ejemplo,
componentes de tecnología de la información, componentes operativos) tienen diferentes valores y quizás tolerancias de
riesgo. Un ejemplo de desconexión interna se puede observar en un hospital que enfatiza diferentes culturas entre la
protección de la privacidad personal de los pacientes y la disponibilidad de información médica para los profesionales
médicos con fines de tratamiento.
La cultura moldea y es moldeada por las personas dentro de las organizaciones. Las influencias y los impactos culturales se pueden
sentir en los tres niveles en el enfoque de gestión de riesgos de varios niveles. Los líderes/ejecutivos sénior, tanto directa como
indirectamente en las estructuras de gobierno de Nivel 1, establecen el escenario para la forma en que las organizaciones
responden a diversos enfoques para gestionar el riesgo. Los líderes/ejecutivos sénior establecen la tolerancia al riesgo para las
organizaciones tanto de manera formal (p. ej., a través de la publicación de documentos de orientación y estrategia) como de
manera informal (p. ej., a través de acciones que son recompensadas y penalizadas, el grado de consistencia en las acciones y el
grado de responsabilidad que se impone) . La dirección establecida por los líderes/ejecutivos sénior y la comprensión de los valores
y prioridades organizacionales existentes son factores importantes que determinan cómo se gestiona el riesgo dentro de las
organizaciones.
2.8 RELACIÓN ENTRE CONCEPTOS CLAVE DE RIESGO

Como se indica en las discusiones anteriores, hay una variedad de conceptos relacionados
con el riesgo (p. ej., tolerancia al riesgo, confianza y cultura), todos los cuales tienen un
impacto en la gestión del riesgo. Los conceptos no operan en el vacío; más bien, suele
haber una fuerte interacción entre los conceptos (p. ej., la cultura de una organización
junto con sus estructuras y procesos de gobierno, a menudo influye en el ritmo del cambio
y la implementación de su estrategia de gestión de riesgos). Por esta razón, el ejecutivo de
riesgo (función) y otras partes involucradas en las decisiones organizacionales basadas en
el riesgo deben tener conocimiento y apreciación de todos los conceptos. A continuación
se proporcionan varios ejemplos de las relaciones entre los conceptos relacionados con el
riesgo.
2.8.1 Gobernanza, tolerancia al riesgo y confianza

Como parte de la implementación de la estrategia de gestión de riesgos de la organización en el Nivel 1, el ejecutivo de
riesgos (función) establece prácticas para compartir información relacionada con los riesgos con entidades externas. Con
respecto a la demostración de la diligencia debida para la gestión del riesgo, es probable que las organizaciones que son
menos tolerantes al riesgo requieran más evidencia de respaldo que las organizaciones que son más tolerantes al riesgo.
Dichas organizaciones solo pueden confiar (y, por lo tanto, asociarse con) organizaciones con las que han tenido una
relación larga y exitosa (consulte el modelo de confianza histórico directo en el Apéndice G). La cantidad de centralización
59dentro de una organización puede reflejar la tolerancia al riesgo de la organización y/o su voluntad de confiar en las
organizaciones asociadas. Algunas organizaciones seleccionan un
58Puede existir una situación similar entre los elementos subordinados de una organización cuando estos elementos
tienen suficiente autonomía y autoridad operativa.
59Puede encontrar información adicional sobre los modelos de gobernanza en el Apéndice F.
____________________________________________________________________________________________________________________
estructura de gobierno descentralizada por razones tales como áreas de misión/negocios muy divergentes o necesidad de
una mayor separación entre líneas de misión/negocios debido a la sensibilidad del trabajo. Las razones para la
descentralización pueden reflejar y probablemente influirán en la tolerancia al riesgo. Por ejemplo, si no hay
organizaciones asociadas que cumplan con los requisitos de confianza establecidos, las organizaciones menos tolerantes
al riesgo pueden requerir mucha más evidencia de respaldo de diligencia debida (por ejemplo, acceso a evaluaciones de
riesgos, planes de seguridad, informes de evaluación de seguridad, decisiones de aceptación de riesgos) que típicamente
requerido en tales situaciones (ver el modelo de confianza validado en el Apéndice G).
2.8.2 Confianza y cultura

También existe una interacción potencial entre los conceptos de riesgo, confianza y cultura. Los cambios en los requisitos
de la misión o del negocio (p. ej., una nueva misión o requisito del negocio para interconectar los sistemas de información
con el fin de compartir información) pueden requerir una mayor aceptación del riesgo de lo que es típico para esa
organización. A corto plazo, pueden ser necesarias medidas adicionales para establecer y/o generar confianza (p. ej.,
aumentar la transparencia entre las organizaciones que se interconectan). Estas medidas facilitan la creación de confianza
y la evolución de las creencias y normas organizacionales a largo plazo. La interacción entre la confianza y la cultura
también se puede observar cuando existen lagunas y superposiciones de responsabilidad entre los componentes de una
organización que pueden afectar la capacidad de llevar a cabo rápidamente las acciones propuestas (especialmente las
acciones nuevas). Por ejemplo, muchas organizaciones con estructuras de gobierno descentralizadas pueden ser más
lentas para adoptar el cambio a menos que haya habido un gran esfuerzo para ampliar la coordinación y mejorar la
confianza entre los componentes de la organización. Suponga que algunas organizaciones están dirigidas por autoridades
superiores (consulte el modelo de confianza obligatorio en el Apéndice G) para compartir información más libremente con
organizaciones pares. Si las organizaciones tienen un historial y una cultura de control estricto de la información, es
posible que se muestren reticentes a compartir información con entidades externas, aunque se les indique que lo hagan.
En tales situaciones, las organizaciones pueden exigir que las organizaciones asociadas proporcionen evidencia concreta
de los pasos tomados para proteger la información designada para compartir antes de su publicación.
2.8.3 Estrategia de inversión y tolerancia al riesgo

Las estrategias de inversión y la tolerancia al riesgo organizacional también tienen
vínculos. Las organizaciones pueden reconocer que existe la necesidad de abordar las
amenazas persistentes avanzadas donde los adversarios han logrado cierto grado de
penetración y posición en los sistemas de información de la organización y los entornos
en los que operan esos sistemas. Las inversiones estratégicas que se requieren para
abordar este tipo de amenazas pueden, en parte, verse influenciadas por la tolerancia
al riesgo de las organizaciones. Las organizaciones menos tolerantes al riesgo pueden
centrar las inversiones en tecnologías de la información que impidan que los
adversarios obtengan un mayor acceso dentro de las organizaciones y/o limiten el daño
causado a las organizaciones, incluso a expensas de lograr algunos de los muchos
beneficios empresariales/misión que puede proporcionar la automatización.
2.8.4 Cultura y tolerancia al riesgo

Una parte importante de la gestión del riesgo dentro de las organizaciones es identificar cuál es la tolerancia al riesgo
organizacional para un tipo particular de pérdida. La tolerancia al riesgo se puede describir como una combinación de la
voluntad cultural de aceptar ciertos tipos de pérdida dentro de las organizaciones y las acciones subjetivas relacionadas
con el riesgo de los líderes/ejecutivos senior. Las decisiones basadas en el riesgo dentro de las organizaciones a menudo
reflejan la combinación de la tolerancia al riesgo de los líderes/ejecutivos senior y la tolerancia al riesgo que está
incrustada en la cultura de las organizaciones. Al establecer la tolerancia al riesgo organizacional, se examinan los
valores, creencias y normas de las organizaciones para comprender por qué el comercio de riesgos
____________________________________________________________________________________________________________________
se hacen despegues. Para algunas organizaciones, en particular aquellas organizaciones que manejan
información crítica y/o sensible, información de identificación personal o información clasificada, el énfasis suele
estar en evitar la divulgación no autorizada. Por el contrario, en aquellas organizaciones impulsadas por una
combinación de cultura organizacional y la naturaleza de sus misiones y funciones comerciales, el énfasis está en
mantener la disponibilidad de los sistemas de información para lograr una capacidad operativa continua. Como
parte del establecimiento de la tolerancia al riesgo organizacional, una evaluación de riesgos identifica los tipos y
niveles de riesgo a los que pueden estar expuestas las organizaciones. Esta evaluación considera tanto la
probabilidad como el impacto de eventos no deseados (consulte el Capítulo Tres, el proceso de gestión de
riesgos).
____________________________________________________________________________________________________________________
CAPÍTULO TRES
EL PROCESO
APLICACIÓN DE CONCEPTOS DE GESTIÓN DE RIESGOS EN TODA UNA ORGANIZACIÓN
T Este capítulo describe un proceso para administrar el riesgo de seguridad de la información que incluye: (i)
una descripción general del proceso de administración de riesgos; (ii) cómo las organizaciones establecen
el contexto para las decisiones basadas en el riesgo; (iii) cómo las organizaciones evalúan el riesgo
considerando amenazas, vulnerabilidades, probabilidad y consecuencias/impacto; (iv) cómo las organizaciones
responden al riesgo una vez determinado; y (v) cómo las organizaciones monitorean el riesgo a lo largo del tiempo
con cambios en la misión/necesidades comerciales, entornos operativos y sistemas de información de apoyo. El
proceso de gestión de riesgos, introducido en el Capítulo Dos, se describe en este capítulo junto con su
aplicabilidad en los tres niveles de gestión de riesgos. Cada uno de los pasos en el proceso de gestión de riesgos
(es decir, enmarcar el riesgo, evaluar el riesgo, responder al riesgo y monitorear el riesgo) se describe de manera
estructurada centrándose en elentradasocondiciones previasnecesario para iniciar el paso, el específico
ocupacionesque componen el paso, y elsalidasopost condicionesresultante del paso.60El efecto de los conceptos de
riesgo descritos en el Capítulo Dos (p. ej., tolerancia al riesgo, confianza y cultura) también se analizan en el
contexto del proceso de gestión de riesgos y su aplicación en varios niveles. La Figura 4 ilustra el proceso de
gestión de riesgos tal como se aplica en los niveles: organización, misión/proceso comercial y sistema de
información. Las flechas bidireccionales en la figura indican que los flujos de información y comunicación entre los
componentes de gestión de riesgos, así como el orden de ejecución de los componentes, pueden ser flexibles y
responder a la naturaleza dinámica del proceso de gestión de riesgos tal como se aplica en los tres niveles. .
EVALUAR
MARCO
TIER 1-ORGANIZACIÓN
EL NIVEL 2-MISIÓN/PROCESOS DE NEGOCIOS
NIVEL 3-SISTEMAS DE INFORMACIÓN

MONITOR RESPONDER
FIGURA 4: PROCESO DE GESTIÓN DE RIESGOS APLICADO EN TODOS LOS NIVELES
60Se puede encontrar orientación adicional sobre pasos seleccionados en el proceso de gestión de riesgos (p. ej., evaluación de riesgos, monitoreo de riesgos) en
otras publicaciones especiales del NIST enumeradas en el Apéndice A.
____________________________________________________________________________________________________________________
Los pasos en el proceso de gestión de riesgos no son inherentemente de naturaleza

secuencial. Los pasos se realizan de diferentes maneras, dependiendo del nivel
particular donde se aplica el paso y de las actividades previas relacionadas con cada
uno de los pasos. Lo que es consistente es que los resultados o las condiciones
posteriores de un paso de gestión de riesgos en particular impactan directamente en
uno o más de los otros pasos de gestión de riesgos en el proceso de gestión de riesgos.
Las organizaciones tienen una flexibilidad significativa en cómo se realizan los pasos de
gestión de riesgos (por ejemplo, secuencia, grado de rigor, formalidad y minuciosidad
de la aplicación) y en cómo se capturan y comparten los resultados de cada paso, tanto
interna como externamente. Por último,
3.1 RIESGO DE ENCUADRE
El marco de riesgo establece el contexto y proporciona una perspectiva común sobre cómo las organizaciones gestionan
el riesgo. El marco de riesgo, como su principal resultado, produce unaestrategia de gestión de riesgosque aborda cómo
las organizaciones pretenden evaluar el riesgo, responder al riesgo y monitorear el riesgo. La estrategia de gestión de
riesgos hace explícitos los supuestos específicos, las restricciones, las tolerancias al riesgo y las prioridades/
compensaciones utilizadas dentro de las organizaciones para tomar decisiones operativas y de inversión. La estrategia de
gestión de riesgos también incluye cualquier decisión de nivel estratégico y consideraciones sobre cómo los líderes/
ejecutivos sénior deben gestionar el riesgo para las operaciones y los activos de la organización, las personas, otras
organizaciones y la Nación.
En el Nivel 1, los líderes/ejecutivos sénior, en consulta y colaboración con el ejecutivo de riesgo (función), definen el
marco de riesgo organizacional que incluye los tipos de decisiones de riesgo (por ejemplo, respuestas de riesgo)
respaldadas, cómo y bajo qué condiciones se evalúa el riesgo para respaldar esas decisiones de riesgo, y cómo se
monitorea el riesgo (por ejemplo, con qué nivel de detalle, en qué forma y con qué frecuencia). En el Nivel 2, los
propietarios de la misión/negocio aplican su comprensión del marco de riesgo organizacional para abordar las
preocupaciones específicas de las misiones/funciones comerciales de la organización (p. ej., suposiciones adicionales,
restricciones, prioridades y compensaciones). En el Nivel 3, los administradores de programas, los propietarios del
sistema de información y los proveedores de control común aplican su comprensión del marco de riesgo organizacional
en función de cómo los tomadores de decisiones en los Niveles 1 y 2 eligen administrar el riesgo.
El marco de gestión de riesgos61es el medio principal para abordar el riesgo en el Nivel 3. El RMF aborda las
preocupaciones específicas del diseño, desarrollo, implementación, operación y disposición de los sistemas de
información de la organización y los entornos en los que operan esos sistemas. El marco de riesgo se puede
adaptar en el Nivel 3 en función de la fase actual del ciclo de vida de desarrollo del sistema, lo que restringe aún
más las posibles respuestas al riesgo. Inicialmente, los marcos de riesgo organizacional pueden no ser explícitos o
pueden no estar definidos en términos que correspondan a los niveles de gestión de riesgos. En ausencia de
marcos de riesgo explícitos (que describan suposiciones, restricciones, tolerancia al riesgo y prioridades/
compensaciones), los propietarios de la misión/negocio pueden tener perspectivas divergentes sobre el riesgo o
cómo gestionarlo. Esto impide un entendimiento común en el Nivel 1 de cómo el riesgo de seguridad de la
información contribuye al riesgo organizacional, y en el Nivel 2, de cómo el riesgo aceptado para una misión o
función comercial afecta potencialmente el riesgo con respecto a otras misiones/funciones comerciales. Las
diferencias en la tolerancia al riesgo y los supuestos, restricciones y prioridades / compensaciones subyacentes se
basan en consideraciones operativas y / o arquitectónicas y deben ser comprendidas y aceptadas por los líderes /
ejecutivos senior dentro de sus respectivas organizaciones.
61El marco de gestión de riesgos (RMF), que opera principalmente en el nivel 3, se describe en la publicación especial
800-37 del NIST.
____________________________________________________________________________________________________________________
PASO 1: MARCO DE RIESGO
Entradas y condiciones previas
El marco de riesgo es el conjunto de suposiciones, restricciones, tolerancias de riesgo y prioridades/compensaciones que dan forma al
enfoque de una organización para gestionar el riesgo. El marco de riesgo está informado por la estructura de gobierno organizacional, la
postura financiera, el entorno legal/regulatorio, la estrategia de inversión, la cultura y las relaciones de confianza establecidas dentro y entre
las organizaciones. Las entradas para el paso de enmarcar el riesgo incluyen, por ejemplo, leyes, políticas, directivas, regulaciones, relaciones
contractuales y limitaciones financieras que imponen restricciones a las decisiones de riesgo potencial de las organizaciones. Otras entradas
para el marco de riesgo pueden incluir, por ejemplo, información específica de las organizaciones para hacer explícito: (i) la identificación de
relaciones de fideicomiso y modelos de fideicomiso (ver Apéndice G) que se derivan de memorandos de entendimiento o acuerdo existentes
(MOU o MOA); y (ii) la identificación de las estructuras y procesos de gobierno que indican el alcance o los límites de la autoridad para la toma
de decisiones sobre riesgos que pueden delegarse en los propietarios de la misión o del negocio. La condición previa clave para el marco de
riesgo es el compromiso del liderazgo senior de definir una estrategia explícita de gestión de riesgos y responsabilizar a los propietarios de la
misión/negocios por la implementación de la estrategia.
La guía producida por el paso de enmarcar el riesgo y las suposiciones subyacentes, las restricciones, las tolerancias al riesgo y las prioridades/
compensaciones utilizadas para desarrollar esa guía pueden ser inapropiadas para una o más misiones organizacionales o funciones comerciales.
Además, el entorno de riesgo tiene el potencial de cambiar con el tiempo. Por lo tanto, el proceso de gestión de riesgos permite la retroalimentación al
paso de enmarcar el riesgo desde los otros pasos del proceso, de la siguiente manera:
• Evaluación de riesgos:La información generada durante la evaluación de riesgos puede influir en los supuestos originales, cambiar las restricciones
con respecto a las respuestas de riesgo apropiadas, identificar compensaciones adicionales o cambiar las prioridades. Por ejemplo, la
caracterización de los adversarios (incluidas las tácticas, técnicas y procedimientos representativos) o las fuentes de información sobre
vulnerabilidades pueden no ser coherentes con la forma en que algunas organizaciones llevan a cabo sus misiones/funciones comerciales; una
fuente de información sobre amenazas/vulnerabilidades que es útil para una misión/función comercial podría, de hecho, ser útil para otros; o la
orientación organizacional sobre la evaluación del riesgo bajo incertidumbre puede ser demasiado onerosa, o insuficientemente definida, para ser
útil para una o más funciones de misión/negocio.
• Respuesta a los riesgos:La información descubierta durante el desarrollo de cursos de acción alternativos podría revelar que se
eliminó el marco de riesgo o que no se descubrieron algunas alternativas potencialmente rentables de la consideración. Esta
situación puede desafiar a las organizaciones a revisar los supuestos originales o investigar formas de cambiar las restricciones
establecidas.
• Seguimiento de riesgos:El monitoreo del control de seguridad por parte de las organizaciones podría indicar que una clase de
controles, o una implementación específica de un control, es relativamente ineficaz, dadas las inversiones en personas, procesos o
tecnología. Esta situación podría conducir a cambios en los supuestos sobre qué tipos de respuestas de riesgo prefieren las
organizaciones. El monitoreo del entorno operativo podría revelar cambios en el panorama de amenazas (p. ej., cambios en las tácticas,
técnicas y procedimientos observados en todos los sistemas de información de la organización; aumento de la frecuencia y/o intensidad
de los ataques contra misiones/funciones comerciales específicas) que hacen que las organizaciones revisar las suposiciones originales
sobre amenazas y/o buscar diferentes fuentes de información sobre amenazas. Los avances significativos en soluciones operativas y
técnicas defensivas o proactivas podrían generar la necesidad de revisar la estrategia de inversión identificada durante el paso de
elaboración. El monitoreo de los entornos legales/reglamentarios también podría influir en los cambios en los supuestos o
restricciones. Además, el seguimiento del riesgo en el que se incurre puede resultar en la necesidad de reconsiderar la tolerancia al
riesgo organizacional si la declaración existente de tolerancia al riesgo no parece coincidir con las realidades operativas.
Ocupaciones
SUPUESTOS DE RIESGO
TAREA 1-1:Identifique los supuestos que afectan la forma en que se evalúa, responde y supervisa el riesgo dentro de la
organización.
Orientación complementaria:Las organizaciones que identifican, caracterizan y brindan ejemplos representativos de fuentes de amenazas,
vulnerabilidades, consecuencias/impactos y determinaciones de probabilidad promueven una terminología común y un marco de referencia para
comparar y abordar los riesgos en diferentes áreas de misión/negocio. Las organizaciones también pueden seleccionar metodologías de evaluación de
riesgos apropiadas, según el gobierno organizacional, la cultura y cuán divergentes sean las misiones/funciones comerciales dentro de las respectivas
organizaciones. Por ejemplo, las organizaciones con estructuras de gobierno altamente centralizadas pueden optar por utilizar una metodología única de
evaluación de riesgos. Las organizaciones con estructuras de gobierno híbridas pueden seleccionar múltiples metodologías de evaluación de riesgos
para el Nivel 2 y una metodología adicional de evaluación de riesgos para el Nivel 1 que asimile y armonice los hallazgos, resultados y observaciones de
las evaluaciones de riesgo de Nivel 2. Alternativamente, cuando la autonomía y la diversidad son fundamentales para la cultura organizacional, las
organizaciones podrían definir los requisitos para el grado de rigor y la forma de los resultados, dejando la elección de metodologías específicas de
evaluación de riesgos a los propietarios de la misión/negocio.
____________________________________________________________________________________________________________________
Fuentes de amenazas
Las fuentes de amenazas provocan eventos que tienen consecuencias indeseables o impactos adversos en las operaciones y los activos de la
organización, las personas, otras organizaciones y la Nación. Las fuentes de amenazas incluyen: (i) ataques cibernéticos/físicos hostiles; (ii) errores
humanos de omisión o comisión; o (iii) desastres naturales y provocados por el hombre. Para las amenazas debidas a ataques cibernéticos hostiles o
ataques físicos, las organizaciones brindan una caracterización sucinta de los tipos de tácticas, técnicas y procedimientos empleados por los adversarios
que deben abordarse mediante salvaguardas y contramedidas (es decir, controles de seguridad) implementadas en el Nivel 1 (controles de la
organización). nivel), en el Nivel 2 (nivel de misión/proceso de negocio), y en el Nivel 3 (nivel del sistema de información), haciendo explícitos los tipos de
fuentes de amenazas que deben abordarse, así como también haciendo explícitos aquellos que no están siendo abordados por las salvaguardas/
contramedidas. Los adversarios se pueden caracterizar en términos de niveles de amenaza (basados en capacidades, intenciones y objetivos) o con
detalles adicionales. Las organizaciones hacen explícitas las suposiciones sobre el objetivo, las intenciones y las capacidades de las fuentes de amenazas.
A continuación, las organizaciones identifican un conjunto de eventos de amenazas representativos. Este conjunto de eventos de amenazas proporciona
orientación sobre el nivel de detalle con el que se describen los eventos. Las organizaciones también identifican las condiciones para considerar eventos
de amenazas en las evaluaciones de riesgos. Por ejemplo, Las organizaciones pueden restringir las evaluaciones de riesgo a aquellos eventos de
amenazas que realmente se han observado (ya sea interna o externamente por socios u organizaciones similares) o, alternativamente, especificar que
también se pueden considerar los eventos de amenazas descritos por investigadores confiables. Finalmente, las organizaciones identifican las fuentes de
información sobre amenazas que se consideran creíbles y útiles (p. ej., Centros de Análisis e Intercambio de Información Sectorial [ISAC]). Las relaciones
de confianza determinan de qué socios, proveedores y clientes se obtiene información sobre amenazas, así como las expectativas que se depositan en
esos socios, proveedores y clientes en los pasos posteriores del proceso de gestión de riesgos. Al establecer puntos de partida comunes para identificar
fuentes de amenazas en el Nivel 1, organizaciones proporcionan una base para agregar y consolidar los resultados de las evaluaciones de riesgo en el
Nivel 2 (incluidas las evaluaciones de riesgo realizadas para coaliciones de misiones y áreas comerciales o para proveedores de control común) en una
evaluación general de riesgo para la organización en su conjunto. En el Nivel 2, los propietarios de la misión/negocio pueden identificar fuentes
adicionales de información sobre amenazas específicas para las misiones de la organización o las funciones comerciales. Estas fuentes generalmente se
basan en: (i) un negocio en particular o un sector de infraestructura crítica (por ejemplo, el sector ISAC); (ii) entornos operativos específicos de las
misiones o líneas de negocio (p. ej., marítimo, espacio aéreo); y (iii) dependencias externas (por ejemplo, GPS o comunicaciones por satélite). La
caracterización de las fuentes de amenazas se refina para las misiones/funciones comerciales establecidas por las organizaciones, con el resultado de
que algunas fuentes de amenazas pueden no ser motivo de preocupación, mientras que otras podrían describirse con mayor detalle. En el Nivel 3, los
administradores de programas, los propietarios del sistema de información y los proveedores de control común consideran la fase del ciclo de vida del
desarrollo del sistema para determinar el nivel de detalle con el que se pueden considerar las amenazas. Una mayor especificidad de amenaza tiende a
estar disponible más adelante en el ciclo de vida.
vulnerabilidades
Organizations identify approaches used to characterize vulnerabilities, consistent with the characterization of threat
sources and events. Vulnerabilities can be associated with exploitable weakness or deficiencies in: (i) the hardware,
software, or firmware components that compose organizational information systems (or the security controls employed
within or inherited by those systems; (ii) mission/business processes and enterprise architectures (including embedded
information security architectures) implemented by organizations; or (iii) organizational governance structures or
processes. Vulnerabilities can also be associated with the susceptibility of organizations to adverse impacts,
consequences, or harm from external sources (e.g., physical destruction of non-owned infrastructure such as electric
power grids). Organizations provide guidance regarding how to consider dependencies on external organizations as
vulnerabilities in the risk assessments conducted. The guidance can be informed by the types of trust relationships
established by organizations with external providers. Organizations identify the degree of specificity with which
vulnerabilities are described (e.g., general terms, Common Vulnerability Enumeration [CVE] identifiers, identification of
weak/deficient security controls), giving some representative examples corresponding to representative threats.
Organizational governance structures and processes determine how vulnerability information is shared across
organizations. Organizations may also identify sources of vulnerability information found to be credible and useful. At Tier
2, mission/business owners may choose to identify additional sources of vulnerability information (e.g., a sector ISAC for
information about vulnerabilities specific to that sector). At Tier 3, program managers, information system owners, and
common control providers consider the phase in the system development life cycle—and in particular, the technologies
included in the system – to determine the level of detail with which vulnerabilities can be considered. Organizations make
explicit any assumptions about the degree of organizational or information system vulnerability to specific threat sources
(by name or by type).
Consecuencias e impacto
Las organizaciones brindan orientación sobre cómo evaluar los impactos en las operaciones de la organización (es decir, la
misión, las funciones, la imagen y la reputación), los activos de la organización, las personas, otras organizaciones y la Nación (p.
Acercarse). Las organizaciones pueden experimentar las consecuencias/el impacto de los eventos adversos a nivel del sistema de
información (p. ej., no cumplir con los requisitos), a nivel de la misión/proceso comercial (p. ej., no cumplir plenamente la misión/
los objetivos comerciales) y a nivel organizacional. (por ejemplo, no cumplir con los requisitos legales o reglamentarios, dañar la
reputación o las relaciones, o socavar la viabilidad a largo plazo). Las organizaciones determinan en el Nivel 1, qué consecuencias
y tipos de impacto se considerarán en el Nivel 2, la misión/negocio
____________________________________________________________________________________________________________________
nivel de proceso. Un evento adverso puede tener múltiples consecuencias y diferentes tipos de impacto, en diferentes niveles y en diferentes marcos de tiempo. Por ejemplo, la exposición de información confidencial (p. ej., información de identificación personal)
por parte de una misión/área comercial particular (p. ej., recursos humanos) puede tener consecuencias en toda la organización y un impacto adverso con respecto al daño a la reputación; la consecuencia / impacto del sistema de información para múltiples
sistemas de un atacante que supera más fácilmente los controles de seguridad de identificación y autenticación; y la consecuencia/impacto de la misión/proceso comercial (para una o más áreas de misión/negocio) de un atacante que falsifica información en la
que se basan decisiones futuras. Para garantizar la coherencia, las organizaciones determinan en el Nivel 1 cómo se evaluarán las consecuencias/impactos experimentados en diferentes períodos de tiempo. En el Nivel 2, los propietarios de la misión/negocio
pueden ampliar la orientación organizacional, según corresponda. Los tipos de consecuencias e impactos considerados en las determinaciones de riesgo se identifican para proporcionar una base para determinar, agregar y/o consolidar los resultados de riesgo y
para facilitar la comunicación de riesgo. Las organizaciones también brindan orientación al Nivel 2 y al Nivel 3 con respecto a la medida en que las evaluaciones de riesgo deben considerar el riesgo para otras organizaciones y la Nación. La organización hace
explícita cualquier suposición sobre el grado de impacto/consecuencias relacionadas con fuentes de amenazas específicas (por nombre o por tipo) o a través de vulnerabilidades específicas (individualmente o por tipo). Los tipos de consecuencias e impactos
considerados en las determinaciones de riesgo se identifican para proporcionar una base para determinar, agregar y/o consolidar los resultados de riesgo y para facilitar la comunicación de riesgo. Las organizaciones también brindan orientación al Nivel 2 y al
Nivel 3 con respecto a la medida en que las evaluaciones de riesgo deben considerar el riesgo para otras organizaciones y la Nación. La organización hace explícita cualquier suposición sobre el grado de impacto/consecuencias relacionadas con fuentes de
amenazas específicas (por nombre o por tipo) o a través de vulnerabilidades específicas (individualmente o por tipo). Los tipos de consecuencias e impactos considerados en las determinaciones de riesgo se identifican para proporcionar una base para
determinar, agregar y/o consolidar los resultados de riesgo y para facilitar la comunicación de riesgo. Las organizaciones también brindan orientación al Nivel 2 y al Nivel 3 con respecto a la medida en que las evaluaciones de riesgo deben considerar el riesgo
para otras organizaciones y la Nación. La organización hace explícita cualquier suposición sobre el grado de impacto/consecuencias relacionadas con fuentes de amenazas específicas (por nombre o por tipo) o a través de vulnerabilidades específicas
(individualmente o por tipo).
Probabilidad
Las organizaciones pueden emplear una variedad de enfoques para determinar la probabilidad de eventos de amenaza. Algunas organizaciones tratan
la probabilidad de que ocurra un evento de amenaza y la probabilidad de que, si ocurre, resulte en efectos adversos como factores separados, mientras
que otras organizaciones evalúan la probabilidad de amenaza como una combinación de estos factores. Además, algunas organizaciones prefieren
evaluaciones de riesgos cuantitativas, mientras que otras organizaciones, particularmente cuando la evaluación implica un alto grado de incertidumbre,
prefieren evaluaciones de riesgos cualitativas. Las determinaciones de probabilidad pueden basarse en suposiciones de amenazas o datos de amenazas
reales (p. ej., datos históricos sobre ataques cibernéticos, datos históricos sobre terremotos o información específica sobre las capacidades, intenciones
y objetivos del adversario). Cuando se dispone de datos de amenazas específicos y creíbles (p. ej., tipos de ataques cibernéticos, tendencias de ataques
cibernéticos, frecuencias de ataques), las organizaciones pueden usar los datos empíricos y los análisis estadísticos para determinar probabilidades más
específicas de que ocurran eventos de amenazas. Las organizaciones seleccionan un método consistente con la cultura organizacional y la tolerancia al
riesgo. Las organizaciones también pueden hacer supuestos explícitos con respecto a la probabilidad de que un evento de amenaza resulte en efectos
adversos de la siguiente manera: (i)peor de los casos(es decir, el ataque tendrá éxito a menos que haya razones poderosas y objetivas para suponer lo
contrario); (ii)mejor caso(es decir, el ataque no tendrá éxito a menos que exista información específica y creíble que indique lo contrario); o (iii) algo
entre el mejor y el peor de los casos (por ejemplo, el caso más probable). Las organizaciones documentan cualquier suposición general. Las
organizaciones pueden usar datos empíricos y análisis estadísticos para ayudar a informar cualquiera de los enfoques utilizados para determinar la
probabilidad de que ocurran eventos de amenaza. Las organizaciones seleccionan un método consistente con la cultura organizacional, la comprensión
del entorno operativo y la tolerancia al riesgo.
RESTRICCIONES DE RIESGO
TAREA 1-2:Identificar las restricciones en la realización de actividades de evaluación de riesgos, respuesta a riesgos y monitoreo de
riesgos dentro de la organización.
Orientación complementaria:La ejecución del proceso de gestión de riesgos puede verse limitada de varias maneras, algunas de
las cuales son directas y obvias, mientras que otras son indirectas. Las limitaciones financieras pueden restringir el conjunto de
actividades de gestión de riesgos directamente (p. ej., al limitar los recursos totales disponibles para inversiones en evaluaciones de
riesgos o en salvaguardas o contramedidas) o indirectamente (p. ej., al eliminar actividades que, si bien implican inversiones
relativamente pequeñas en respuesta al riesgo, implicar la reducción o el descarte de inversiones en sistemas de información
heredados o tecnología de la información). Las organizaciones también pueden descubrir que la necesidad de seguir dependiendo
de los sistemas de información heredados puede limitar las opciones de gestión de riesgos disponibles para la organización. Las
restricciones también pueden incluir requisitos legales, reglamentarios y/o contractuales. Tales restricciones pueden reflejarse en
las políticas de la organización (p. ej., restricciones a la subcontratación, restricciones y/o requisitos para la recopilación de
información como parte del monitoreo de riesgos). La cultura organizacional puede imponer restricciones indirectas sobre los
cambios de gobierno (p. ej., impedir un cambio de estructuras de gobierno descentralizadas a híbridas) y qué controles de
seguridad son considerados por las organizaciones como posibles controles comunes. En particular, las actitudes organizacionales
hacia el riesgo de la tecnología de la información que, por ejemplo, favorecen la automatización extensiva y la adopción temprana
de nuevas tecnologías pueden limitar el grado de prevención de riesgos y tal vez la mitigación de riesgos que se puede lograr.
Cualquier restricción cultural que limite al líder senior/ejecutivo (p. ej., director de información) la visibilidad de los sistemas de
información de la organización que están más allá de su autoridad formal (por ejemplo, sistemas relacionados con la misión) puede
impedir la comprensión general de la complejidad del entorno de los sistemas de información y los riesgos relacionados para la
organización. En el Nivel 2, los dueños de la misión/negocio interpretan las restricciones a la luz de las misiones organizacionales/
funciones comerciales. Algunas restricciones reglamentarias pueden no aplicarse a misiones/funciones comerciales particulares (p.
ej., reglamentaciones que se aplican a operaciones internacionales, cuando las áreas de misión/negocios están restringidas a los
Estados Unidos). Alternativamente, pueden aplicarse requisitos adicionales (p. ej., misión/procesos comerciales realizados en
conjunto con otra organización, lo que impone restricciones contractuales). En el Nivel 3, los propietarios del sistema de
información, los proveedores de control común,
____________________________________________________________________________________________________________________
TOLERANCIA AL RIESGO
TAREA 1-3:Identificar el nivel de tolerancia al riesgo de la organización.
Orientación complementaria:La tolerancia al riesgo es el nivel de riesgo que las organizaciones están dispuestas a aceptar en la búsqueda de metas y objetivos estratégicos. Las organizaciones definen la tolerancia al riesgo
relacionada con la seguridad de la información en toda la organización considerando todas las misiones/funciones comerciales. Las organizaciones pueden usar una variedad de técnicas para identificar la tolerancia al riesgo de
seguridad de la información (p. ej., al establecer zonas en un espacio comercial de probabilidad-impacto o al usar un conjunto de escenarios representativos). Las organizaciones también definen la tolerancia para otros tipos de
riesgos organizacionales y operativos (por ejemplo, riesgo financiero, riesgo de seguridad, riesgo de cumplimiento o riesgo de reputación). En el Nivel 2, los propietarios de la misión/negocio pueden tener diferentes tolerancias al
riesgo de la organización en su conjunto. El ejecutivo de riesgo (función) proporciona a las organizaciones formas de resolver tales diferencias en las tolerancias de riesgo en el Nivel 2. El nivel de riesgo residual aceptado por los
ordenadores para los sistemas de información o los controles comunes heredados se encuentra dentro de la tolerancia al riesgo de la organización, y no a las tolerancias de riesgo individuales de dichos ordenadores. Además, las
organizaciones brindan a los Niveles 2 y 3, orientación sobre la evaluación de riesgos para una misión/procesos de negocios o sistemas de información específicos y un enfoque en la efectividad de la misión/negocios a corto plazo
con el enfoque estratégico a largo plazo de la tolerancia al riesgo organizacional. Consulte la Sección 2.3.3 para obtener información adicional sobre la tolerancia al riesgo. orientación sobre la evaluación del riesgo para una
misión/procesos de negocio o sistemas de información específicos y un enfoque en la efectividad de la misión/negocio a corto plazo con el enfoque estratégico a largo plazo de la tolerancia al riesgo de la organización. Consulte la
Sección 2.3.3 para obtener información adicional sobre la tolerancia al riesgo. orientación sobre la evaluación del riesgo para una misión/procesos de negocio o sistemas de información específicos y un enfoque en la efectividad
de la misión/negocio a corto plazo con el enfoque estratégico a largo plazo de la tolerancia al riesgo de la organización. Consulte la Sección 2.3.3 para obtener información adicional sobre la tolerancia al riesgo.
PRIORIDADES Y COMPENSACIONES
TAREA 1-4:Identificar las prioridades y las ventajas y desventajas consideradas por la organización en la gestión del riesgo.
Orientación complementaria:El riesgo se experimenta en diferentes niveles, en diferentes formas y en diferentes marcos de tiempo. En el Nivel 1, las
organizaciones hacen concesiones y establecen prioridades para responder a dichos riesgos. Las organizaciones tienden a tener múltiples prioridades
que a veces entran en conflicto, lo que genera un riesgo potencial. Los enfoques empleados por las organizaciones para administrar carteras de riesgos
reflejan la cultura organizacional, la tolerancia al riesgo, así como las suposiciones y restricciones relacionadas con el riesgo. Estos enfoques suelen estar
incorporados en los planes estratégicos, las políticas y las hojas de ruta de las organizaciones que pueden indicar preferencias por diferentes formas de
respuesta al riesgo. Por ejemplo, las organizaciones pueden estar dispuestas a aceptar el riesgo a corto plazo de operaciones ligeramente degradadas
para lograr una reducción a largo plazo del riesgo de seguridad de la información. Sin embargo, esta compensación podría ser inaceptable para una
misión/función comercial particularmente crítica (p. ej., requisitos en tiempo real en muchos sistemas industriales/de control de procesos). Para esa área
de alta prioridad, puede ser necesario un enfoque diferente para mejorar la seguridad, incluida la aplicación de controles de seguridad compensatorios.
Salidas y Post Condiciones

El resultado del paso de enmarcar el riesgo es elestrategia de gestión de riesgosque identifica cómo las organizaciones pretenden evaluar, responder y monitorear el riesgo a lo largo del tiempo. El paso de elaboración también
produce un conjunto de políticas, procedimientos, estándares, orientación y recursos organizacionales que cubren los siguientes temas: (i) alcance del proceso de gestión de riesgos organizacionales (p. ej., entidades
organizacionales cubiertas; misión/funciones comerciales afectadas; cómo la gestión de riesgos las actividades se aplican dentro de los niveles de gestión de riesgos); (ii) orientación para la evaluación de riesgos que incluye, por
ejemplo, la caracterización de las fuentes de amenazas, fuentes de información sobre amenazas, eventos de amenazas representativos (en particular, tácticas, técnicas y procedimientos del adversario), cuándo considerar y cómo
evaluar amenazas, fuentes de vulnerabilidad información, metodologías de evaluación de riesgos que se utilizarán y supuestos de riesgo; (iii) orientación de respuesta al riesgo que incluye, por ejemplo, tolerancias al riesgo,
conceptos de respuesta al riesgo que se emplearán, costos de oportunidad, compensaciones, consecuencias de las respuestas, jerarquía de autoridades y prioridades; (iv) orientación para el monitoreo de riesgos, incluida, por
ejemplo, orientación sobre el análisis de los factores de riesgo monitoreados para determinar los cambios en el riesgo, y la frecuencia, los métodos y los informes del monitoreo; (v) otras limitaciones y limitaciones de riesgo para
ejecutar actividades de gestión de riesgos; y (vi) prioridades organizativas y compensaciones. Los resultados del paso de elaboración del marco del riesgo sirven como entradas para los pasos de evaluación del riesgo, respuesta al
riesgo y seguimiento del riesgo. orientación sobre el análisis de los factores de riesgo monitoreados para determinar los cambios en el riesgo y la frecuencia, los métodos y los informes del monitoreo; (v) otras limitaciones y
limitaciones de riesgo para ejecutar actividades de gestión de riesgos; y (vi) prioridades organizativas y compensaciones. Los resultados del paso de elaboración del marco del riesgo sirven como entradas para los pasos de
evaluación del riesgo, respuesta al riesgo y seguimiento del riesgo. orientación sobre el análisis de los factores de riesgo monitoreados para determinar los cambios en el riesgo y la frecuencia, los métodos y los informes del
monitoreo; (v) otras limitaciones y limitaciones de riesgo para ejecutar actividades de gestión de riesgos; y (vi) prioridades organizativas y compensaciones. Los resultados del paso de elaboración del marco del riesgo sirven como
entradas para los pasos de evaluación del riesgo, respuesta al riesgo y seguimiento del riesgo.
3.2 EVALUACIÓN DEL RIESGO
La evaluación de riesgos identifica, prioriza y estima el riesgo para las operaciones de la organización (es decir, misión,
funciones, imagen y reputación), los activos de la organización, las personas, otras organizaciones y la Nación, resultantes
de la operación y el uso de los sistemas de información.62Las evaluaciones de riesgos utilizan los resultados de las
evaluaciones de amenazas y vulnerabilidades para identificar y evaluar el riesgo en términos de probabilidad de
ocurrencia y posible impacto adverso (es decir, magnitud del daño) para organizaciones, activos e individuos. Las
evaluaciones de riesgos se pueden realizar en cualquiera de los niveles de gestión de riesgos
62El borrador de la Publicación especial del NIST 800-30, Revisión 1, brinda orientación sobre la realización de evaluaciones de riesgos (incluidas las
evaluaciones de riesgos incrementales o diferenciales) en los tres niveles del enfoque de gestión de riesgos de varios niveles.
____________________________________________________________________________________________________________________
con diferentes objetivos y utilidad de la información producida. Por ejemplo, las evaluaciones de riesgos realizadas en el Nivel 1 o el
Nivel 2 se centran en las operaciones, los activos y las personas de la organización, ya sea integrales en todas las líneas de misión/
negocios o solo en aquellas evaluaciones que son transversales a la misión/línea de negocios en particular. Las evaluaciones de
riesgo de toda la organización pueden basarse únicamente en los supuestos, las limitaciones, las tolerancias de riesgo, las
prioridades y las compensaciones establecidas en el paso de elaboración del marco de riesgo (derivado principalmente de las
actividades de Nivel 1) o pueden basarse en las evaluaciones de riesgo realizadas en múltiples misiones. / líneas de negocio
(derivadas principalmente de actividades Tier 2). Las evaluaciones de riesgos realizadas en un nivel se pueden utilizar para refinar/
mejorar la información sobre amenazas, vulnerabilidad, probabilidad e impacto utilizada en las evaluaciones realizadas en otros
niveles. El grado de reutilización de la información de las evaluaciones de riesgos está determinado por la similitud de las misiones/
funciones comerciales y el grado de autonomía que las entidades organizativas o los subcomponentes tienen con respecto a las
organizaciones matrices. Las organizaciones que están descentralizadas pueden esperar realizar más actividades de evaluación de
riesgos en el Nivel 2 y, como resultado, pueden tener una mayor necesidad de comunicarse dentro del Nivel 2 para identificar
amenazas y vulnerabilidades transversales. Las organizaciones descentralizadas aún pueden beneficiarse de las evaluaciones de
riesgo de Nivel 1 y, en particular, de la identificación de un conjunto inicial de amenazas y fuentes de vulnerabilidad. Las
evaluaciones de riesgos de toda la organización brindan cierta priorización inicial de los riesgos para que los tomadores de
decisiones los consideren al ingresar al paso de respuesta al riesgo.
Las organizaciones se benefician significativamente de la realización de evaluaciones de riesgos como parte de un proceso de gestión de riesgos en toda la organización. Sin embargo, una vez que se
completan las evaluaciones de riesgos, es prudente que las organizaciones inviertan algo de tiempo en mantener las evaluaciones actualizadas. Mantener actualizadas las evaluaciones de riesgos
requiere el apoyo del paso de monitoreo de riesgos (p. ej., observar los cambios en los sistemas de información de la organización y los entornos de operación o analizar los resultados del monitoreo para
mantener la conciencia del riesgo). Mantener las evaluaciones de riesgos actualizadas brinda muchos beneficios potenciales, como información oportuna y relevante que permite a los líderes/ejecutivos
senior realizar una gestión de riesgos casi en tiempo real. El mantenimiento de las evaluaciones de riesgos también reduce los costos de evaluación futuros y respalda los esfuerzos continuos de
monitoreo de riesgos. Las organizaciones pueden determinar que realizar evaluaciones de riesgos integrales como una forma de mantener las evaluaciones de riesgos actuales no proporciona valor
suficiente. En tales situaciones, las organizaciones consideran realizar evaluaciones de riesgos incrementales y/o diferenciales. Las evaluaciones de riesgos incrementales consideran solo información
nueva (p. ej., los efectos del uso de un nuevo sistema de información sobre la misión/riesgo comercial), mientras que las evaluaciones de riesgos diferenciales consideran cómo los cambios afectan la
determinación general del riesgo. Las evaluaciones de riesgos incrementales o diferenciales son útiles si las organizaciones requieren una revisión más específica del riesgo, buscan una comprensión más
amplia del riesgo o desean una comprensión más amplia del riesgo en relación con las misiones/funciones comerciales. En tales situaciones, las organizaciones consideran realizar evaluaciones de
riesgos incrementales y/o diferenciales. Las evaluaciones de riesgos incrementales consideran solo información nueva (p. ej., los efectos del uso de un nuevo sistema de información sobre la misión/
riesgo comercial), mientras que las evaluaciones de riesgos diferenciales consideran cómo los cambios afectan la determinación general del riesgo. Las evaluaciones de riesgos incrementales o
diferenciales son útiles si las organizaciones requieren una revisión más específica del riesgo, buscan una comprensión más amplia del riesgo o desean una comprensión más amplia del riesgo en
relación con las misiones/funciones comerciales. En tales situaciones, las organizaciones consideran realizar evaluaciones de riesgos incrementales y/o diferenciales. Las evaluaciones de riesgos
incrementales consideran solo información nueva (p. ej., los efectos del uso de un nuevo sistema de información sobre la misión/riesgo comercial), mientras que las evaluaciones de riesgos diferenciales
consideran cómo los cambios afectan la determinación general del riesgo. Las evaluaciones de riesgos incrementales o diferenciales son útiles si las organizaciones requieren una revisión más específica
del riesgo, buscan una comprensión más amplia del riesgo o desean una comprensión más amplia del riesgo en relación con las misiones/funciones comerciales. mientras que las evaluaciones de riesgos diferenciales consideran cómo los cambios a
PASO 2: EVALUACIÓN DE RIESGOS
Las entradas al paso de evaluación de riesgos del paso de encuadre de riesgos incluyen, por ejemplo: (i) metodologías aceptables de
evaluación de riesgos; (ii) la amplitud y profundidad del análisis empleado durante las evaluaciones de riesgo; (iii) el nivel de granularidad
requerido para describir las amenazas; (iv) si / cómo evaluar a los proveedores de servicios externos; y (v) si / cómo agregar los resultados de
la evaluación de riesgos de diferentes entidades organizativas o funciones de misión / negocio a la organización en su conjunto. Las
expectativas de la organización con respecto a las metodologías, técnicas y/o procedimientos de evaluación de riesgos están fuertemente
determinadas por las estructuras de gobierno, la tolerancia al riesgo, la cultura, la confianza y los procesos del ciclo de vida. Antes de realizar
evaluaciones de riesgos, Las organizaciones entienden las razones fundamentales para realizar las evaluaciones y lo que constituye la
profundidad y amplitud adecuadas para las evaluaciones. Los supuestos de riesgo, las restricciones de riesgo, la tolerancia al riesgo y las
prioridades/compensaciones definidas durante el paso de encuadre de riesgo dan forma a cómo las organizaciones usan las evaluaciones de
riesgo, por ejemplo, aplicaciones localizadas de las evaluaciones de riesgo dentro de cada uno de los niveles de gestión de riesgo (es decir,
gobierno, misión/negocio). procesos, sistemas de información) o aplicaciones globales de las evaluaciones de riesgos en toda la
organización. Las organizaciones pueden realizar evaluaciones de riesgos incluso cuando no se hayan recibido algunos de los aportes del
paso de encuadre de riesgos o no se hayan establecido las condiciones previas. Sin embargo, en esas situaciones, la calidad de los resultados
de la evaluación de riesgos puede verse afectada. Además del paso de enmarcar el riesgo,
____________________________________________________________________________________________________________________
especialmente durante las operaciones de la misión y la fase de operaciones/mantenimiento del ciclo de vida del desarrollo del sistema (p. ej., cuando
las organizaciones descubren nuevas amenazas o vulnerabilidades que requieren una reevaluación inmediata del riesgo). El paso de evaluación de
riesgos también puede recibir información del paso de respuesta al riesgo (por ejemplo, cuando las organizaciones están considerando el riesgo de
emplear nuevas soluciones basadas en tecnología como alternativas a las medidas de reducción de riesgos). A medida que se desarrollan cursos de
acción en el paso de respuesta al riesgo, puede ser necesaria una evaluación de riesgo diferencial para evaluar las diferencias que cada curso de acción
hace en la determinación general del riesgo.
Ocupaciones
IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES
TAREA 2-1:Identificar amenazas y vulnerabilidades en los sistemas de información de la organización y los entornos en los
que operan los sistemas.
Orientación complementaria:La identificación de amenazas requiere un examen de las fuentes y eventos de amenazas. Para examinar las fuentes y eventos de
amenazas, las organizaciones identifican las capacidades de amenazas, las intenciones y la información de objetivos de todas las fuentes disponibles. Las
organizaciones pueden aprovechar varias fuentes de información sobre amenazas a nivel estratégico o táctico. La información sobre amenazas generada en
cualquier nivel se puede utilizar para informar o refinar las actividades relacionadas con el riesgo en cualquier otro nivel. Por ejemplo, las amenazas específicas (es
decir, tácticas, técnicas y procedimientos) identificadas durante las evaluaciones de amenazas de Nivel 1 pueden afectar directamente la misión/proceso comercial y
las decisiones de diseño arquitectónico en el Nivel 2. Las organizaciones pueden utilizar la información de amenazas específicas generada en los Niveles 2 y 3. para
refinar la información sobre amenazas generada durante las evaluaciones iniciales de amenazas realizadas en el Nivel 1.
La identificación de vulnerabilidades ocurre en todos los niveles. Las vulnerabilidades relacionadas con el gobierno organizacional (p. ej.,
decisiones inconsistentes sobre las prioridades relativas de la misión/procesos comerciales, selección de implementaciones incompatibles de
controles de seguridad), así como las vulnerabilidades relacionadas con dependencias externas (p. ej., energía eléctrica, cadena de
suministro, telecomunicaciones), son las más importantes. identificadas efectivamente en el Nivel 1. Sin embargo, la mayoría de las
identificaciones de vulnerabilidades ocurren en los Niveles 2 y 3. En el Nivel 2, las vulnerabilidades relacionadas con el proceso y la
arquitectura (p. arquitecturas) tienen más probabilidades de ser identificados. En el Nivel 3, las vulnerabilidades del sistema de información
son el enfoque principal. Estas vulnerabilidades se encuentran comúnmente en los componentes de hardware, software y firmware de los
sistemas de información o en los entornos en los que operan los sistemas. Otras áreas de vulnerabilidades potenciales incluyen
vulnerabilidades asociadas con la definición, aplicación/implementación y monitoreo de procesos, procedimientos y servicios relacionados
con aspectos administrativos, operativos y técnicos de la seguridad de la información. Las vulnerabilidades asociadas con el diseño
arquitectónico y los procesos de misión/negocio pueden tener un mayor impacto en la capacidad de las organizaciones para llevar a cabo
misiones y funciones comerciales con éxito debido al impacto potencial en múltiples sistemas de información y entornos de misión. Las
evaluaciones de vulnerabilidad refinadas realizadas en los Niveles 2 y 3 se comparten con el personal de la organización responsable de
evaluar los riesgos de manera más estratégica. Las evaluaciones de vulnerabilidad realizadas en los niveles 2 y 3 tienen la oportunidad de
evaluar variables relacionadas adicionales, como la ubicación, la proximidad a otros activos de alto riesgo (físicos o lógicos) y las
consideraciones de recursos relacionadas con los entornos operativos. La información específica de los entornos operativos permite obtener
resultados de evaluación más útiles y prácticos. La identificación de la vulnerabilidad se puede lograr a nivel de debilidad/deficiencia por
individuo o a nivel de causa raíz. Al seleccionar entre enfoques, las organizaciones consideran si el objetivo general es identificar cada
instancia específica o síntoma de un problema o comprender las causas fundamentales subyacentes de los problemas. Comprender las
debilidades o deficiencias explotables específicas es útil cuando se identifican los problemas por primera vez o cuando se requieren
soluciones rápidas. Esta comprensión específica también proporciona a las organizaciones las fuentes de información necesarias para
diagnosticar eventualmente las posibles causas raíz de los problemas, especialmente aquellos problemas que son de naturaleza sistémica.
Las organizaciones con arquitecturas empresariales más establecidas (incluidas las arquitecturas de seguridad de la información integradas) y procesos
de ciclo de vida maduros tienen resultados que se pueden utilizar para informar los procesos de evaluación de riesgos. Las suposiciones de riesgo, las
restricciones, las tolerancias, las prioridades y las compensaciones utilizadas para desarrollar arquitecturas empresariales y arquitecturas de seguridad
de la información integradas pueden ser fuentes útiles de información para las actividades iniciales de evaluación de riesgos. Las evaluaciones de riesgos
realizadas para respaldar el desarrollo de arquitecturas de soluciones o segmentos también pueden servir como fuentes de información para la
identificación de amenazas y vulnerabilidades. Otro factor que influye en la identificación de amenazas y vulnerabilidades es la cultura organizacional.
Las organizaciones que promueven comunicaciones libres y abiertas y la no retribución por compartir información adversa tienden a fomentar una
mayor apertura de las personas que trabajan dentro de esas organizaciones. Con frecuencia, el personal organizacional que opera en los Niveles 2 y 3
tiene información valiosa y puede hacer contribuciones significativas en el área de identificación de amenazas y vulnerabilidades. La cultura de las
organizaciones influye en la disposición del personal para comunicar información sobre amenazas y vulnerabilidades potenciales, lo que en última
instancia afecta la calidad y cantidad de las amenazas/vulnerabilidades identificadas.
____________________________________________________________________________________________________________________
DETERMINACIÓN DE RIESGO
TAREA 2-2:Determinar el riesgo para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación si las
amenazas identificadas explotan las vulnerabilidades identificadas.
Orientación complementaria:Las organizaciones determinan el riesgo considerando la probabilidad de que las amenazas conocidas aprovechen las vulnerabilidades conocidas y las consecuencias resultantes o los impactos adversos (es decir, la magnitud del
daño) si se producen dichas explotaciones. Las organizaciones utilizan información sobre amenazas y vulnerabilidades junto con información sobre probabilidad y consecuencias/impacto para determinar el riesgo cualitativa o cuantitativamente. Las
organizaciones pueden emplear una variedad de enfoques para determinar la probabilidad de que las amenazas exploten las vulnerabilidades. Las determinaciones de probabilidad pueden basarse en suposiciones de amenazas o en información real sobre
amenazas (p. ej., datos históricos sobre ataques cibernéticos, datos históricos sobre terremotos o información específica sobre las capacidades, intenciones y objetivos del adversario). Cuando se dispone de información específica y creíble sobre amenazas (p. ej.,
tipos de ataques cibernéticos, tendencias de ataques cibernéticos, frecuencias de ataques), las organizaciones pueden usar datos empíricos y análisis estadísticos para determinar probabilidades más específicas de que ocurran amenazas. La evaluación de la
probabilidad también puede verse influida por si la identificación de la vulnerabilidad se produjo en el nivel de debilidad o deficiencia individual o en el nivel de causa raíz. La relativa facilidad/dificultad de la explotación de vulnerabilidades, la sofisticación de los
adversarios y la naturaleza de los entornos operativos influyen en la probabilidad de que las amenazas exploten las vulnerabilidades. Las organizaciones pueden caracterizar los impactos adversos por objetivo de seguridad (p. ej., pérdida de confidencialidad,
integridad o disponibilidad). Sin embargo, para maximizar la utilidad, el impacto adverso se expresa o se traduce en términos de misiones organizacionales, funciones comerciales y partes interesadas. las organizaciones pueden usar datos empíricos y análisis
estadísticos para determinar probabilidades más específicas de que ocurran amenazas. La evaluación de la probabilidad también puede verse influida por si la identificación de la vulnerabilidad se produjo en el nivel de debilidad o deficiencia individual o en el
nivel de causa raíz. La relativa facilidad/dificultad de la explotación de vulnerabilidades, la sofisticación de los adversarios y la naturaleza de los entornos operativos influyen en la probabilidad de que las amenazas exploten las vulnerabilidades. Las organizaciones
pueden caracterizar los impactos adversos por objetivo de seguridad (p. ej., pérdida de confidencialidad, integridad o disponibilidad). Sin embargo, para maximizar la utilidad, el impacto adverso se expresa o se traduce en términos de misiones organizacionales,
funciones comerciales y partes interesadas. las organizaciones pueden usar datos empíricos y análisis estadísticos para determinar probabilidades más específicas de que ocurran amenazas. La evaluación de la probabilidad también puede verse influida por si la
identificación de la vulnerabilidad se produjo en el nivel de debilidad o deficiencia individual o en el nivel de causa raíz. La relativa facilidad/dificultad de la explotación de vulnerabilidades, la sofisticación de los adversarios y la naturaleza de los entornos operativos
influyen en la probabilidad de que las amenazas exploten las vulnerabilidades. Las organizaciones pueden caracterizar los impactos adversos por objetivo de seguridad (p. ej., pérdida de confidencialidad, integridad o disponibilidad). Sin embargo, para maximizar
la utilidad, el impacto adverso se expresa o se traduce en términos de misiones organizacionales, funciones comerciales y partes interesadas.
Determinación del Riesgo e Incertidumbre

Las determinaciones de riesgo requieren un análisis de la amenaza, la vulnerabilidad, la probabilidad y la información relacionada con el impacto. Las
organizaciones también necesitan examinar las vulnerabilidades y amenazas de la misión/negocio donde no existen salvaguardas y/o contramedidas. La
naturaleza de las entradas proporcionadas a este paso (p. ej., generales, específicas, estratégicas, tácticas) afecta directamente el tipo de salidas o
determinaciones de riesgo realizadas. La confiabilidad y precisión de las determinaciones de riesgo dependen de la actualidad, precisión, integridad e
integridad de la información recopilada para respaldar el proceso de evaluación de riesgos. Además, los componentes de los resultados de la evaluación
de riesgos que afectan la confiabilidad y precisión de las determinaciones de riesgo también afectan la cantidad de incertidumbre asociada con esas
determinaciones de riesgo y las determinaciones posteriores. Las organizaciones también consideran información adicional relacionada con los plazos
anticipados asociados con riesgos particulares. Los horizontes de tiempo asociados con amenazas potenciales pueden dar forma a futuras respuestas al
riesgo (por ejemplo, el riesgo puede no ser una preocupación si el horizonte de tiempo para el riesgo es en un futuro lejano).
La guía organizacional para determinar el riesgo bajo incertidumbre indica cómo las combinaciones de probabilidad e impacto se combinan en una
determinación del nivel de riesgo o puntaje/calificación de riesgo. Las organizaciones necesitan comprender el tipo y la cantidad de incertidumbre que
rodea las decisiones de riesgo para que las determinaciones de riesgo puedan entenderse. Durante el paso de enmarcar el riesgo, las organizaciones
pueden haber brindado orientación sobre cómo analizar el riesgo y cómo determinar el riesgo cuando existe un alto grado de incertidumbre. La
incertidumbre es particularmente preocupante cuando la evaluación de riesgos considera amenazas persistentes avanzadas, para las cuales puede ser
necesario un análisis de las vulnerabilidades que interactúan, el cuerpo común de conocimiento es escaso y el comportamiento pasado puede no ser
predictivo.
Si bien las determinaciones de amenazas y vulnerabilidades se aplican con frecuencia a las misiones y
funciones comerciales, los requisitos específicos asociados con las misiones/funciones comerciales,
incluidos los entornos de operación, pueden generar resultados de evaluación diferentes. Las diferentes
misiones, funciones comerciales y entornos de operación pueden dar lugar a diferencias en la aplicabilidad
de la información sobre amenazas específicas considerada y la probabilidad de que las amenazas causen
un daño potencial. Comprender el componente de amenaza de la evaluación de riesgos requiere conocer
las amenazas particulares que enfrentan misiones o funciones comerciales específicas. Tal conocimiento de
las amenazas incluye la comprensión de la capacidad, la intención y el objetivo de adversarios particulares.
Incluso con el establecimiento de criterios explícitos, las evaluaciones de riesgos están influenciadas por la cultura organizacional y las experiencias
personales y el conocimiento acumulado de las personas que realizan las evaluaciones. Como resultado, los evaluadores de riesgos pueden llegar a
diferentes conclusiones a partir de la misma información. Esta diversidad de perspectivas puede enriquecer el proceso de evaluación de riesgos y
proporcionar a los responsables de la toma de decisiones una mayor variedad de información y potencialmente menos sesgos. Sin embargo, tal
diversidad también puede conducir a evaluaciones de riesgo que sean inconsistentes. Los procesos definidos y aplicados por la organización
proporcionan los medios para identificar prácticas inconsistentes e incluyen procesos para identificar y resolver dichas inconsistencias.

El resultado del paso de evaluación de riesgos es una determinación del riesgo para las operaciones de la organización (es decir, misión,
funciones, imagen y reputación), los activos de la organización, las personas, otras organizaciones y la Nación. Dependiendo del enfoque
que adopten las organizaciones, el riesgo general para la organización o los datos utilizados para determinar el riesgo pueden ser
____________________________________________________________________________________________________________________
comunicada a los tomadores de decisiones responsables de la respuesta al riesgo. En ciertas situaciones, hay ciclos recurrentes entre el paso
de evaluación de riesgos y el paso de respuesta al riesgo hasta que se logran objetivos particulares. Según el curso de acción seleccionado
durante el paso de respuesta al riesgo, es posible que quede algo de riesgo residual. En determinadas circunstancias, el nivel de riesgo
residual podría desencadenar una reevaluación del riesgo. Esta reevaluación suele ser incremental (evaluando solo la nueva información) y
diferencial (evaluando cómo la nueva información cambia la determinación general del riesgo).
La agregación de los resultados de la evaluación de riesgos de los tres niveles impulsa la gestión de las carteras de riesgos
emprendidas por las organizaciones. Los riesgos identificados comunes a más de una misión/función comercial dentro de
las organizaciones también pueden ser la fuente de futuras actividades de evaluación en el Nivel 1, como el análisis de
causa raíz. Obtener una mejor comprensión de las razones por las que ciertos riesgos son más comunes o frecuentes
ayuda a los responsables de la toma de decisiones a seleccionar respuestas de riesgo que aborden los problemas
subyacentes (o causa raíz) en lugar de centrarse únicamente en los problemas superficiales que rodean la existencia de los
riesgos. Los resultados de las evaluaciones de riesgos también pueden dar forma a futuras decisiones de diseño y
desarrollo relacionadas con la arquitectura empresarial (incluida la arquitectura de seguridad de la información integrada)
y los sistemas de información organizativos.
Los resultados del paso de evaluación de riesgos pueden ser insumos útiles para los pasos de encuadre y monitoreo de riesgos. Por ejemplo, las
determinaciones de riesgo pueden resultar en la revisión de la tolerancia al riesgo organizacional establecida durante el paso de elaboración del marco
de riesgo. Las organizaciones también pueden optar por utilizar la información del paso de evaluación de riesgos para informar el paso de monitoreo
de riesgos. Por ejemplo, las evaluaciones de riesgos pueden incluir recomendaciones para monitorear elementos específicos de riesgo (p. ej., fuentes de
amenazas) para que, si se cruzan ciertos umbrales, los resultados de evaluaciones de riesgos anteriores puedan revisarse y actualizarse, según
corresponda. Los umbrales particulares establecidos como parte de los programas de monitoreo de riesgos también pueden servir como base para las
evaluaciones de riesgos. Si las organizaciones establecen criterios como parte del paso de enmarcar el riesgo para cuando los resultados de la
evaluación del riesgo no justifiquen las respuestas al riesgo,
3.3 RESPUESTA AL RIESGO

La respuesta al riesgo identifica, evalúa, decide e implementa los cursos de acción apropiados para aceptar, evitar, mitigar,
compartir o transferir el riesgo a las operaciones y activos organizacionales, personas, otras organizaciones y la Nación,
resultante de la operación y uso de la información. sistemas Identificar y analizar cursos de acción alternativos63
generalmente ocurre en el Nivel 1 o el Nivel 2. Esto se debe al hecho de que los cursos de acción alternativos (es decir, las
posibles respuestas a los riesgos) se evalúan en términos de impactos anticipados en toda la organización y la capacidad
de las organizaciones para continuar llevando a cabo con éxito las misiones organizacionales. y funciones comerciales. Las
decisiones de emplear medidas de respuesta al riesgo en toda la organización generalmente se toman en el Nivel 1,
aunque las decisiones se basan en información relacionada con el riesgo de los niveles inferiores. En el Nivel 2, los cursos
de acción alternativos se evalúan en términos de impactos anticipados en las misiones/funciones comerciales de la
organización, la misión/procesos comerciales asociados que respaldan las misiones/funciones comerciales y los requisitos
de recursos. En el Nivel 3, Los cursos de acción alternativos tienden a evaluarse en términos del ciclo de vida de desarrollo
del sistema o la cantidad máxima de tiempo disponible para implementar el curso de acción seleccionado. La amplitud de
las posibles respuestas al riesgo es un factor importante para determinar si la actividad se lleva a cabo en el Nivel 1, Nivel 2
o Nivel 3. Las decisiones de riesgo están influenciadas por la tolerancia al riesgo organizacional desarrollada como parte
de las actividades de encuadre de riesgo en el Nivel 1. Las organizaciones pueden implementar decisiones de riesgo en
cualquiera de los niveles de gestión de riesgos con diferentes objetivos y utilidad de la información producida.
PASO 3: RESPUESTA AL RIESGO
Los aportes de la evaluación de riesgos y los pasos del marco de riesgos incluyen: (i) identificación de fuentes de amenazas y eventos de
amenazas; (ii) identificación de vulnerabilidades que son objeto de explotación; (iii) estimaciones de posibles consecuencias y/o impacto si
63ACurso de acciónes una combinación de medidas de respuesta al riesgo escalonada en el tiempo o dependiente de la situación. Amedida de respuesta
al riesgoes una acción específica tomada para responder a un riesgo identificado. Las medidas de respuesta al riesgo se pueden gestionar por separado
y pueden incluir, por ejemplo, la implementación de controles de seguridad para mitigar el riesgo, la promulgación de políticas de seguridad para evitar
el riesgo o para aceptar el riesgo en circunstancias específicas y acuerdos organizacionales para compartir o transferir el riesgo.
____________________________________________________________________________________________________________________
las amenazas aprovechan las vulnerabilidades; (iv) estimaciones de probabilidad de que las amenazas aprovechen las
vulnerabilidades; (v) una determinación de riesgo para las operaciones de la organización (es decir, misión, funciones, imagen y
reputación), activos de la organización, individuos, otras organizaciones y la Nación; (vi) orientación de respuesta al riesgo de la
estrategia de gestión de riesgos de la organización (consulte el Apéndice H); y (vii) las directrices organizativas generales y la
orientación sobre las respuestas apropiadas al riesgo. Además de los pasos de evaluación de riesgos y encuadre de riesgos, el paso
de respuesta al riesgo puede recibir información del paso de monitoreo de riesgos (p. ej., cuando las organizaciones experimentan
una violación o un compromiso en sus sistemas de información o entornos de operación que requieren una respuesta inmediata
para abordar el incidente). y reducir el riesgo adicional que resulta del evento). El paso de respuesta al riesgo también puede recibir
información del paso de elaboración del riesgo (p. ej., cuando las organizaciones deben implementar nuevas medidas de seguridad
y contramedidas en sus sistemas de información en función de los requisitos de seguridad de la nueva legislación o las políticas de
la OMB). El paso de enmarcar el riesgo también da forma directamente a las restricciones de recursos asociadas con la selección de
un curso de acción apropiado. Las condiciones previas adicionales establecidas en el paso del marco de riesgo pueden incluir: (i)
restricciones basadas en la arquitectura y las inversiones previas; (ii) preferencias y tolerancias organizacionales; (iii) la efectividad
esperada para mitigar el riesgo (incluyendo cómo se mide y monitorea la efectividad); y (iv) el horizonte temporal del riesgo (p. ej.,
riesgo actual, riesgo proyectado, es decir,
Ocupaciones
IDENTIFICACIÓN DE LA RESPUESTA AL RIESGO
TAREA 3-1:Identificar cursos de acción alternativos para responder al riesgo determinado durante la evaluación de riesgos.
Orientación complementaria:Las organizaciones pueden responder al riesgo de diversas formas. Estos incluyen: (i) aceptación del riesgo; (ii)
prevención de riesgos; (iii) mitigación de riesgos; (iv) riesgo compartido; (v) transferencia de riesgos; o (vi) una combinación de los anteriores. Un curso
de acción es una combinación de medidas de respuesta al riesgo en fases temporales o dependientes de la situación. Por ejemplo, en una situación de
emergencia, las organizaciones pueden aceptar el riesgo asociado con la conexión sin filtrar a un proveedor de comunicaciones externo por un tiempo
limitado; luego evite el riesgo cortando la conexión; mitigar el riesgo a corto plazo mediante la aplicación de controles de seguridad para buscar
malware o evidencia de acceso no autorizado a la información que ocurrió durante el período de conexión sin filtrar; y finalmente mitigar el riesgo a
largo plazo mediante la aplicación de controles para manejar dichas conexiones de manera más segura.
Aceptación de riesgos
La aceptación del riesgo es la respuesta adecuada al riesgo cuando el riesgo identificado se encuentra dentro de la tolerancia al riesgo de la
organización. Las organizaciones pueden aceptar riesgos que se consideren bajos, moderados o altos según situaciones o condiciones
particulares. Por ejemplo, las organizaciones con centros de datos que residen en la parte noreste de los Estados Unidos pueden optar por
aceptar el riesgo de terremotos según la probabilidad conocida de terremotos y la vulnerabilidad del centro de datos a daños por terremotos.
Las organizaciones aceptan el hecho de que los terremotos son posibles, pero dada la poca frecuencia de grandes terremotos en esa región
del país, creen que no es rentable abordar ese riesgo, es decir, las organizaciones han determinado que el riesgo asociado con los terremotos
es bajo. En cambio, las organizaciones pueden aceptar un riesgo sustancialmente mayor (en el rango moderado/alto) debido a una misión,
negocio o necesidades operativas apremiantes. Por ejemplo, las agencias federales pueden decidir compartir información muy confidencial
con los socorristas que normalmente no tienen acceso a dicha información debido a necesidades urgentes para detener ataques terroristas
pendientes, aunque la información en sí misma no sea perecedera con respecto al riesgo por pérdida. de confidencialidad. Las
organizaciones generalmente toman determinaciones con respecto al nivel general de riesgo aceptable y los tipos de riesgo aceptable
considerando las prioridades organizacionales y las compensaciones entre: (i) la misión a corto plazo/necesidades comerciales y el potencial
de impactos a largo plazo en la misión/negocio; y (ii) los intereses de la organización y los impactos potenciales sobre los individuos, otras
organizaciones,
Evitación de riesgo
Evitar el riesgo puede ser la respuesta adecuada al riesgo cuando el riesgo identificado excede la tolerancia al riesgo de la organización. Las
organizaciones pueden realizar ciertos tipos de actividades o emplear ciertos tipos de tecnologías de la información que resulten en un
riesgo inaceptable. En tales situaciones, la prevención de riesgos implica tomar medidas específicas para eliminar las actividades o
tecnologías que son la base del riesgo o revisar o reposicionar estas actividades o tecnologías en la misión de la organización/procesos
comerciales para evitar la posibilidad de un riesgo inaceptable. Por ejemplo, las organizaciones que planean emplear conexiones en red
entre dos dominios pueden determinar mediante evaluaciones de riesgo que existe un riesgo inaceptable al establecer tales conexiones. Las
organizaciones también pueden determinar que implementar salvaguardas y contramedidas efectivas (p. soluciones de dominios cruzados)
no es práctico en las circunstancias dadas. Por lo tanto, las organizaciones deciden evitar el riesgo eliminando las conexiones electrónicas o
en red y empleando un "espacio de aire" con procesos de conexión manual (por ejemplo, transferencias de datos por dispositivos de
almacenamiento secundario).
Mitigación de riesgos
La mitigación del riesgo, o la reducción del riesgo, es la respuesta adecuada al riesgo para esa parte del riesgo que no puede aceptarse,
evitarse, compartirse o transferirse. Las alternativas para mitigar el riesgo dependen de: (i) el nivel de gestión del riesgo y el alcance
____________________________________________________________________________________________________________________
de las decisiones de respuesta al riesgo asignadas o delegadas a los funcionarios de la organización en ese nivel (definido
por las estructuras de gobierno de la organización); y (ii) la estrategia de gestión de riesgos de la organización y las
estrategias de respuesta a los riesgos asociados. Los medios utilizados por las organizaciones para mitigar el riesgo
pueden implicar una combinación de medidas de respuesta al riesgo en los tres niveles. Por ejemplo, la mitigación de
riesgos puede incluir controles de seguridad comunes en el Nivel 1, reingeniería de procesos en el Nivel 2 y/o
salvaguardias o contramedidas de gestión, operativas o técnicas nuevas o mejoradas (o alguna combinación de las tres)
en el Nivel 3. Otro Se puede ilustrar un ejemplo de un riesgo potencial que requiere mitigación cuando los adversarios
obtienen acceso a dispositivos móviles (por ejemplo, computadoras portátiles o asistentes digitales personales) mientras
los usuarios están viajando. Las posibles medidas de mitigación de riesgos incluyen,
Riesgo compartido o transferencia
Compartir el riesgo o transferir el riesgo es la respuesta adecuada al riesgo cuando las organizaciones desean y tienen los medios para transferir la
responsabilidad y responsabilidad del riesgo a otras organizaciones. La transferencia de riesgos transfiere toda la responsabilidad por el riesgo de una
organización a otra (p. ej., el uso de seguros para transferir el riesgo de organizaciones particulares a las compañías de seguros). El riesgo compartido
transfiere una parte de la responsabilidad del riesgo a otras organizaciones (por lo general, organizaciones que están más calificadas para abordar el
riesgo). Es importante señalar que la transferencia de riesgos no reduce la probabilidad de que ocurran eventos dañinos ni las consecuencias en
términos de daño a las operaciones y activos organizacionales, individuos, otras organizaciones o la Nación. Compartir el riesgo puede ser compartir la
responsabilidad o compartir la responsabilidad de otros, respuestas adecuadas al riesgo, como la mitigación. Por lo tanto, el concepto de transferencia
de riesgo es menos aplicable en el sector público (por ejemplo, gobiernos federales, estatales y locales) que en el sector privado, ya que la
responsabilidad de las organizaciones generalmente se establece por legislación o política. Como tal, las transferencias de riesgo por iniciativa propia
de las organizaciones del sector público (tal como se tipifica en la compra de un seguro) generalmente no son posibles. El riesgo compartido a menudo
ocurre cuando las organizaciones determinan que abordar el riesgo requiere experiencia o recursos que son mejor proporcionados por otras
organizaciones. Por ejemplo, un riesgo identificado podría ser la penetración física de perímetros y ataques cinéticos por parte de grupos terroristas. La
organización decide asociarse con otra organización que comparte las instalaciones físicas para asumir la responsabilidad conjunta de abordar el riesgo
de los ataques cinéticos.
EVALUACIÓN DE ALTERNATIVAS
TAREA 3-2:Evaluar cursos de acción alternativos para responder al riesgo.
Orientación complementaria:La evaluación de cursos de acción alternativos puede incluir: (i) la efectividad esperada para lograr la
respuesta de riesgo deseada (y cómo se mide y monitorea la efectividad); y (ii) la factibilidad anticipada de implementación, incluyendo, por
ejemplo, el impacto de la misión/negocio, las consideraciones políticas, legales, sociales, financieras, técnicas y económicas. Las
consideraciones económicas incluyen costos a lo largo del período de tiempo esperado durante el cual se sigue el curso de acción (p. ej.,
costo de adquisición, integración en procesos organizacionales en el Nivel 1 y/o Nivel 2, sistemas de información en el Nivel 3, capacitación y
mantenimiento). Durante la evaluación de cursos de acción alternativos, Se pueden hacer explícitas las compensaciones entre las ganancias a
corto plazo en la eficacia o eficiencia de la misión/negocio y el riesgo a largo plazo de daño a la misión/negocio debido al compromiso de la
información o los sistemas de información que brindan este beneficio a corto plazo. Por ejemplo, las organizaciones preocupadas por la
posibilidad de que los dispositivos móviles (por ejemplo, computadoras portátiles) se vean comprometidos mientras los empleados están de
viaje pueden evaluar varios cursos de acción que incluyen: (i) proporcionar computadoras portátiles limpias a los usuarios que viajan a áreas
de alto riesgo; (ii) quitar discos duros de computadoras portátiles y operar desde CD o DVD; o (iii) hacer que las computadoras portátiles
pasen por una evaluación detallada antes de que se les permita conectarse a las redes organizacionales. La primera opción es muy efectiva
ya que las computadoras portátiles que regresan nunca se conectan a las redes organizacionales. Si bien la segunda opción garantiza que los
discos duros no se dañen, no es tan eficaz porque aún es posible que los dispositivos de hardware (por ejemplo, las placas base) se hayan
visto comprometidos. La eficacia de la tercera opción está limitada por la capacidad de las organizaciones para detectar la posible inserción
de malware en el hardware, el firmware o el software. Como tal, es la menos efectiva de las tres opciones. Desde una perspectiva de costos,
la primera opción es potencialmente la más costosa, según la cantidad de viajeros (por lo tanto, la cantidad de computadoras portátiles de
viaje) requeridas. La segunda y tercera opciones son considerablemente menos costosas. Desde una perspectiva operativa y de misión, la
tercera opción es la mejor alternativa ya que los usuarios tienen acceso a configuraciones estándar de portátiles que incluyen todas las
aplicaciones y datos de apoyo necesarios para realizar tareas de apoyo a misiones y funciones comerciales. Dichas aplicaciones y datos no
estarían disponibles si se selecciona la primera o la segunda opción. En última instancia, la evaluación de los cursos de acción se realiza en
función de los requisitos operativos, incluidos los requisitos de seguridad de la información, necesarios para el éxito comercial o de la misión
a corto y largo plazo. Las restricciones presupuestarias, la coherencia con las estrategias de gestión de inversiones, las libertades civiles y la
protección de la privacidad son algunos de los elementos importantes que las organizaciones tienen en cuenta al seleccionar los cursos de
acción adecuados. En aquellos casos en que las organizaciones solo identifiquen un solo curso de acción, luego la evaluación se enfoca en si
el curso de acción es adecuado. Si el curso de acción se considera inadecuado, las organizaciones deben perfeccionar el curso de acción
identificado para abordar las deficiencias o desarrollar otro curso de acción (consulte la Tarea 3-1).
En resumen, se lleva a cabo una compensación de riesgo versus riesgo-respuesta para cada curso de acción para proporcionar la información
necesaria para: (i) seleccionar entre los cursos de acción; y (ii) evaluar los cursos de acción en términos de efectividad de la respuesta, costos, impacto
en la misión/negocio y cualquier otro factor que se considere relevante para las organizaciones. parte del riesgo
____________________________________________________________________________________________________________________
frente a la compensación riesgo-respuesta considera la cuestión de los recursos que compiten. Desde una perspectiva
organizacional, esto significa que las organizaciones consideran si el costo (por ejemplo, dinero, personal, tiempo) para
implementar un curso de acción determinado tiene el potencial de afectar negativamente otras misiones o funciones
comerciales y, de ser así, en qué medida. Esto es necesario porque las organizaciones tienen recursos finitos para emplear
y muchas misiones/funciones comerciales en competencia en muchos elementos organizacionales. Por lo tanto, las
organizaciones evalúan el valor general de los cursos de acción alternativos con respecto a las misiones/funciones
comerciales y el riesgo potencial para cada elemento organizacional. Las organizaciones pueden determinar que,
independientemente de una misión/función comercial en particular y la validez del riesgo asociado,
DECISIÓN DE RESPUESTA AL RIESGO
TAREA 3-3:Decidir el curso de acción apropiado para responder al riesgo.
Orientación complementaria:Las decisiones sobre el curso de acción más apropiado incluyen alguna forma de priorización. Algunos riesgos pueden ser
más preocupantes que otros riesgos. En ese caso, es posible que sea necesario destinar más recursos a abordar los riesgos de mayor prioridad que a
otros riesgos de menor prioridad. Esto no significa necesariamente que no se aborden los riesgos de menor prioridad. Más bien, podría significar que se
podrían dirigir menos recursos a los riesgos de menor prioridad (al menos inicialmente), o que los riesgos de menor prioridad se abordarían en un
momento posterior. Una parte clave del proceso de decisión de riesgo es el reconocimiento de que, independientemente de la decisión, todavía queda
un grado de riesgo residual que debe abordarse. Las organizaciones determinan los grados aceptables de riesgo residual con base en la tolerancia al
riesgo organizacional y las tolerancias al riesgo específicas de los tomadores de decisiones particulares. Algunos de los conceptos más intangibles
relacionados con el riesgo (p. ej., tolerancia al riesgo, confianza y cultura) influyen en el proceso de decisión. Las creencias y enfoques específicos que
adoptan las organizaciones con respecto a estos conceptos relacionados con el riesgo afectan el curso de acción seleccionado por los tomadores de
decisiones.
IMPLEMENTACIÓN DE LA RESPUESTA AL RIESGO
TAREA 3-4:Implementar el curso de acción seleccionado para responder al riesgo.
Orientación complementaria:Una vez que se selecciona un curso de acción, las organizaciones implementan la respuesta al riesgo asociado. Dado el
tamaño y la complejidad de algunas organizaciones, la implementación real de las medidas de respuesta al riesgo puede ser un desafío. Algunas
medidas de respuesta al riesgo son de naturaleza táctica (p. ej., la aplicación de parches a las vulnerabilidades identificadas en los sistemas de
información de la organización) y pueden implementarse con bastante rapidez. Otras medidas de respuesta al riesgo pueden ser de naturaleza más
estratégica y reflejar soluciones que requieren mucho más tiempo para implementarse. Por lo tanto, las organizaciones aplican y adaptan según
corresponda a un curso de acción específico de respuesta al riesgo, las consideraciones de implementación de la respuesta al riesgo en las estrategias de
respuesta al riesgo (parte de la estrategia de gestión del riesgo desarrollada durante el paso de elaboración del riesgo). Consulte el Apéndice H,
Estrategias de respuesta al riesgo.

El resultado del paso de respuesta al riesgo es la implementación de los cursos de acción seleccionados considerando: (i) individuos o elementos
organizacionales responsables de las medidas de respuesta al riesgo seleccionadas y especificaciones de criterios de efectividad (es decir, articulación de
indicadores y umbrales contra los cuales la puede juzgarse la eficacia de las medidas de respuesta al riesgo); (ii) dependencias de cada medida de
respuesta al riesgo seleccionada en otras medidas de respuesta al riesgo; (iii) las dependencias de las medidas de respuesta al riesgo seleccionadas de
otros factores (por ejemplo, la implementación de otras medidas de tecnología de la información planificadas); (iv) cronograma para la implementación
de las medidas de respuesta al riesgo; (v) planes para monitorear la efectividad de las medidas de respuesta a los riesgos; (vi) identificación de
disparadores de monitoreo de riesgos; y (vii) medidas provisionales de respuesta al riesgo seleccionadas para su implementación, si corresponde.
También hay comunicaciones continuas y el intercambio de información relacionada con el riesgo con personas o elementos de la organización
afectados por las respuestas al riesgo (incluidas las acciones potenciales que las personas o los elementos de la organización pueden necesitar).
Además del paso de monitoreo de riesgos, los resultados del paso de respuesta al riesgo pueden ser insumos útiles para los pasos
de encuadre y evaluación de riesgos. Por ejemplo, es posible que el análisis que ocurre durante la evaluación de cursos de acción
alternativos pueda cuestionar algunos aspectos de la estrategia de respuesta al riesgo que es parte de la estrategia de gestión del
riesgo generada durante el paso de elaboración del marco del riesgo. En tales casos, las organizaciones usan esa información para
informar el paso de encuadre de riesgo con las acciones apropiadas tomadas para revisar la estrategia de gestión de riesgo y su
estrategia de respuesta de riesgo asociada. Las organizaciones también pueden determinar durante la evaluación de cursos de
acción alternativos para la respuesta al riesgo, que algunos aspectos de las evaluaciones de riesgo están incompletos o son
incorrectos.
____________________________________________________________________________________________________________________
3.4 SEGUIMIENTO DE RIESGOS
El monitoreo de riesgos proporciona a las organizaciones los medios para: (i) verificarcumplimiento;64(ii) determinar el
cursoeficaciade medidas de respuesta al riesgo; y (iii) identificar riesgos que impactencambiosa los sistemas de
información organizacionales y ambientes de operación. El análisis de los resultados del monitoreo brinda a las
organizaciones la capacidad de mantener la conciencia del riesgo en el que se incurre, resaltar la necesidad de revisar
otros pasos en el proceso de gestión de riesgos e iniciar actividades de mejora del proceso según sea necesario.sesenta y cinco
Las organizaciones emplean herramientas, técnicas y procedimientos de monitoreo de riesgos para aumentar la
conciencia del riesgo, ayudando a los líderes/ejecutivos senior a desarrollar una mejor comprensión del riesgo continuo
para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación. Las organizaciones
pueden implementar el monitoreo de riesgos en cualquiera de los niveles de gestión de riesgos con diferentes objetivos y
utilidad de la información producida. Por ejemplo, las actividades de monitoreo de Nivel 1 pueden incluir evaluaciones
continuas de amenazas y cómo los cambios en el espacio de amenazas pueden afectar las actividades de Nivel 2 y Nivel 3,
incluidas las arquitecturas empresariales (con arquitecturas de seguridad de la información integradas) y los sistemas de
información organizacionales. Las actividades de monitoreo de Nivel 2 pueden incluir, por ejemplo, análisis de tecnologías
nuevas o actuales, ya sea en uso o consideradas para uso futuro por parte de las organizaciones para identificar
debilidades y/o deficiencias explotables en esas tecnologías que pueden afectar la misión/el éxito empresarial. Las
actividades de monitoreo de nivel 3 se enfocan en los sistemas de información y pueden incluir, por ejemplo, el monitoreo
automatizado de los parámetros de configuración estándar para los productos de tecnología de la información, el escaneo
de vulnerabilidades y las evaluaciones continuas de los controles de seguridad. Además de decidir sobre las actividades de
monitoreo apropiadas en todos los niveles de gestión de riesgos, las organizaciones también deciden cómo se llevará a
cabo el monitoreo (p. ej., enfoques automáticos o manuales) y la frecuencia de las actividades de monitoreo en función,
por ejemplo, de la frecuencia con la que se implementaron los controles de seguridad. cambio, elementos críticos en los
planes de acción e hitos,
PASO 4: SEGUIMIENTO DE RIESGOS
Las entradas a este paso incluyen estrategias de implementación para cursos de acción seleccionados para respuestas a riesgos y la implementación real
de cursos de acción seleccionados. Además del paso de respuesta al riesgo, el paso de seguimiento del riesgo puede recibir información del paso de
elaboración del riesgo (p. ej., cuando las organizaciones se dan cuenta de una amenaza persistente avanzada que refleja un cambio en los supuestos de
la amenaza, esto puede dar lugar a un cambio en la frecuencia del seguimiento). sobre las actividades de seguimiento). El paso de enmarcar el riesgo
también da forma directamente a las restricciones de recursos asociadas con el establecimiento e implementación de una estrategia de monitoreo en
toda la organización. En algunos casos, los resultados del paso de evaluación de riesgos pueden ser insumos útiles para el paso de monitoreo de riesgos.
Por ejemplo, las condiciones de umbral de evaluación de riesgos (p. ej., probabilidad de que las amenazas aprovechen las vulnerabilidades) podría ser
una entrada para el paso de monitoreo de riesgos. A su vez, las organizaciones podrían monitorear para determinar si se cumplen dichas condiciones de
umbral. Si se cumplen las condiciones de umbral, dicha información podría usarse en el paso de evaluación de riesgos, donde podría servir como base
para una evaluación de riesgos incremental y diferencial o una reevaluación general del riesgo para la organización.
Ocupaciones
ESTRATEGIA DE SEGUIMIENTO DE RIESGOS
TAREA 4-1:Desarrollar una estrategia de monitoreo de riesgos para la organización que incluya el propósito, el tipo y la
frecuencia de las actividades de monitoreo.
64La verificación del cumplimiento garantiza que las organizaciones hayan implementado las medidas de respuesta al riesgo requeridas y que se
cumplan los requisitos de seguridad de la información derivados y trazables de las misiones/funciones comerciales de la organización, la legislación
federal, las directivas, los reglamentos, las políticas y los estándares/directrices.
sesenta y cincoEl borrador de la publicación especial NIST 800-137 brinda orientación sobre el monitoreo de los sistemas de información organizacional y
los entornos de operación.
____________________________________________________________________________________________________________________
Orientación complementaria:Las organizaciones implementan programas de monitoreo de riesgos: (i) para verificar que se
implementen las medidas de respuesta a los riesgos requeridas y que se cumplan los requisitos de seguridad de la información
derivados de las misiones/funciones comerciales de la organización, la legislación federal, las directivas, los reglamentos, las
políticas y los estándares/directrices, y que sean rastreables a ellos. (seguimiento del cumplimiento); (ii) para determinar la
efectividad continua de las medidas de respuesta al riesgo después de que se hayan implementado las medidas (seguimiento de la
eficacia); y (iii) identificar cambios en los sistemas de información de la organización y los entornos en los que operan los sistemas
que puedan afectar el riesgo (control de cambios) incluidos los cambios en la viabilidad de la aplicación continua de las medidas de
respuesta al riesgo). Determinar el propósito de los programas de monitoreo de riesgos impacta directamente los medios
utilizados por las organizaciones para realizar las actividades de monitoreo y dónde ocurre el monitoreo (es decir, en qué niveles de
gestión de riesgos). Las organizaciones también determinan el tipo de monitoreo que se empleará, incluidos los enfoques que se
basan en la automatización o los enfoques que se basan en actividades procedimentales/manuales con intervención humana.
Finalmente, las organizaciones determinan con qué frecuencia se realizan las actividades de monitoreo, equilibrando el valor
obtenido del monitoreo frecuente con el potencial de interrupciones operativas debido, por ejemplo, a la interrupción de la misión/
procesos comerciales, la reducción del ancho de banda operativo durante el monitoreo y el cambio de recursos de operaciones a
monitoreo.
Supervisión del cumplimiento
El monitoreo del cumplimiento se emplea para garantizar que las organizaciones estén implementando las medidas de respuesta al riesgo necesarias. Esto incluye garantizar que las medidas de respuesta al riesgo seleccionadas e
implementadas por las organizaciones en respuesta a las determinaciones de riesgo producidas a partir de las evaluaciones de riesgo se implementen correctamente y funcionen según lo previsto. La falta de implementación de
las medidas de respuesta al riesgo seleccionadas por las organizaciones puede resultar en que las organizaciones continúen estando sujetas al riesgo identificado. El monitoreo del cumplimiento también incluye garantizar que se
implementen las medidas de respuesta al riesgo requeridas por los mandatos federales (p. ej., legislación, directivas, políticas, regulaciones, estándares) o los mandatos organizacionales (p. ej., políticas locales, procedimientos,
misión/requisitos comerciales). El monitoreo de cumplimiento es el tipo de monitoreo más fácil de realizar porque generalmente hay un conjunto finito de medidas de respuesta al riesgo empleadas por las organizaciones,
generalmente en forma de controles de seguridad. Tales medidas suelen estar bien definidas y articuladas como resultado del paso de respuesta al riesgo. La parte más desafiante del monitoreo del cumplimiento es evaluar si las
medidas de respuesta al riesgo se implementan correctamente (y en algunos casos de manera continua). El monitoreo del cumplimiento también incluye, en la medida de lo posible, un análisis de por qué falló el cumplimiento. El
motivo de la falta de cumplimiento puede variar desde que las personas no hagan su trabajo correctamente hasta que la medida de respuesta al riesgo no funcione según lo previsto. Si el monitoreo indica una falla en el
cumplimiento, entonces se revisa el paso de respuesta del proceso de gestión de riesgos. Un elemento clave de la retroalimentación del paso de respuesta es el hallazgo del monitoreo del cumplimiento que indica el motivo de la
falla en el cumplimiento. En algunos casos, las fallas de cumplimiento se pueden corregir simplemente volviendo a implementar las mismas medidas de respuesta al riesgo con poco o ningún cambio. Pero en otros casos, las fallas
de cumplimiento son más complicadas (por ejemplo, las medidas de respuesta al riesgo seleccionadas son demasiado difíciles de implementar o las medidas no funcionaron como se esperaba). En tales casos, puede ser necesario
que las organizaciones regresen a las porciones de evaluación y decisión del paso de respuesta al riesgo para desarrollar diferentes medidas de respuesta al riesgo. las fallas de cumplimiento se pueden solucionar simplemente
volviendo a implementar las mismas medidas de respuesta al riesgo con poco o ningún cambio. Pero en otros casos, las fallas de cumplimiento son más complicadas (por ejemplo, las medidas de respuesta al riesgo seleccionadas
son demasiado difíciles de implementar o las medidas no funcionaron como se esperaba). En tales casos, puede ser necesario que las organizaciones regresen a las porciones de evaluación y decisión del paso de respuesta al
riesgo para desarrollar diferentes medidas de respuesta al riesgo. las fallas de cumplimiento se pueden solucionar simplemente volviendo a implementar las mismas medidas de respuesta al riesgo con poco o ningún cambio. Pero
en otros casos, las fallas de cumplimiento son más complicadas (por ejemplo, las medidas de respuesta al riesgo seleccionadas son demasiado difíciles de implementar o las medidas no funcionaron como se esperaba). En tales
casos, puede ser necesario que las organizaciones regresen a las porciones de evaluación y decisión del paso de respuesta al riesgo para desarrollar diferentes medidas de respuesta al riesgo.
Supervisión de la eficacia
Las organizaciones emplean el monitoreo de la efectividad para determinar si las medidas de respuesta al riesgo implementadas han sido
realmente efectivas para reducir el riesgo identificado al nivel deseado. Aunque el seguimiento de la eficacia es diferente del seguimiento del
cumplimiento, el hecho de no lograr los niveles deseados de eficacia puede ser un indicio de que las medidas de respuesta al riesgo se han
implementado incorrectamente o no están funcionando según lo previsto. Generalmente, determinar la efectividad de las medidas de
respuesta al riesgo es más desafiante que determinar si las medidas se han implementado correctamente y funcionan según lo previsto (es
decir, cumplen con los requisitos de cumplimiento identificados). Las medidas de respuesta al riesgo implementadas correctamente y
operando según lo previsto no garantizan una reducción efectiva del riesgo. Esto se debe principalmente a: (i) la complejidad de los entornos
operativos que pueden generar consecuencias no deseadas; (ii) cambios posteriores en los niveles de riesgo o factores de riesgo asociados
(por ejemplo, amenazas, vulnerabilidades, impacto o probabilidad); (iii) criterios inapropiados o incompletos establecidos como resultado del
paso de respuesta al riesgo; y (iv) cambios en los sistemas de información y entornos de operación luego de la implementación de las
medidas de respuesta al riesgo. Esto es especialmente cierto cuando las organizaciones intentan determinar si se han logrado más
resultados estratégicos y para entornos operativos más dinámicos. Por ejemplo, si el resultado deseado para las organizaciones es ser menos
susceptibles a las amenazas persistentes avanzadas, esto puede ser difícil de medir ya que este tipo de amenazas son, por definición, muy
difíciles de detectar. Incluso cuando las organizaciones pueden establecer criterios de eficacia, a menudo es difícil obtener criterios que sean
cuantificables. Por lo tanto, puede convertirse en una cuestión de juicio subjetivo si las medidas de respuesta al riesgo implementadas son
finalmente efectivas. Además, incluso si se proporcionan criterios de eficacia cuantificables, puede ser difícil determinar si la información
proporcionada cumple con los criterios. Si las organizaciones determinan que las medidas de respuesta al riesgo no son efectivas, entonces
puede ser necesario volver al paso de respuesta al riesgo. Generalmente, para las fallas de efectividad, las organizaciones no pueden
simplemente regresar a la parte de implementación del paso de respuesta al riesgo. Por lo tanto, dependiendo del motivo de la falta de
efectividad, las organizaciones revisan todas las partes del paso de respuesta al riesgo (es decir, desarrollo, evaluación, decisión, e
implementación) y potencialmente el paso de evaluación de riesgos. Estas actividades pueden dar como resultado que las organizaciones
desarrollen e implementen respuestas de riesgo completamente nuevas.
____________________________________________________________________________________________________________________
Supervisión de cambios
Además del monitoreo del cumplimiento y el monitoreo de la efectividad, las organizaciones monitorean los cambios en los sistemas de información de
la organización y los entornos en los que operan esos sistemas. El monitoreo de los cambios en los sistemas de información y ambientes de operación
no está vinculado directamente con las medidas previas de respuesta al riesgo, pero sin embargo es importante para detectar cambios que puedan
afectar el riesgo de las operaciones y activos organizacionales, las personas, otras organizaciones y la Nación. Generalmente, dicho monitoreo detecta
cambios en las condiciones que pueden socavar los supuestos de riesgo (articulados en el paso de encuadre de riesgo).
• Sistema de informacion:Pueden ocurrir cambios en los sistemas de información de la organización (incluidos el hardware, el software y el
firmware) que pueden introducir un nuevo riesgo o cambiar el riesgo existente. Por ejemplo, las actualizaciones del software del sistema
operativo pueden eliminar las capacidades de seguridad que existían en versiones anteriores, introduciendo así nuevas vulnerabilidades en los
sistemas de información de la organización. Otro ejemplo es el descubrimiento de nuevas vulnerabilidades del sistema que quedan fuera del
alcance de las herramientas y los procesos disponibles para abordar dichas vulnerabilidades (por ejemplo, vulnerabilidades para las que no
existen mitigaciones establecidas).
• Ambientes de Operación:Los entornos en los que operan los sistemas de información también pueden cambiar de manera que introduzcan
nuevos riesgos o cambien los riesgos existentes. Las consideraciones ambientales y operativas incluyen, entre otras, misiones/funciones
comerciales, amenazas, vulnerabilidades, misiones/procesos comerciales, instalaciones, políticas, legislación y tecnologías. Por ejemplo, se podrían
aprobar nuevas leyes o reglamentos que impongan requisitos adicionales a las organizaciones. Este cambio podría afectar el riesgo de los
supuestos establecidos por las organizaciones. Otro ejemplo es un cambio en el entorno de amenazas que informa nuevas tácticas, técnicas,
procedimientos o aumentos en las capacidades técnicas de los adversarios. Las organizaciones pueden experimentar reducciones en los recursos
disponibles (p. ej., personal o financiamiento), lo que a su vez da como resultado cambios en las prioridades. Las organizaciones también pueden
experimentar cambios en la propiedad de proveedores externos que podrían afectar el riesgo de la cadena de suministro. Los cambios de misión
pueden requerir que las organizaciones revisen los supuestos de riesgo subyacentes. Por ejemplo, una organización cuya misión es recopilar
información sobre posibles ataques terroristas domésticos y compartir dicha información con las agencias federales de inteligencia y de aplicación
de la ley correspondientes puede cambiar su alcance para que la organización también sea responsable de compartir parte de la información con
los primeros locales. respondedores. Tal cambio podría afectar las suposiciones con respecto a los recursos de seguridad que dichos usuarios
pueden tener a su disposición. Los cambios en la tecnología también pueden afectar los supuestos de riesgo subyacentes establecidos por las
organizaciones. A diferencia de otros tipos de cambio, los cambios tecnológicos pueden ser totalmente independientes de las organizaciones, pero
aún afectan el riesgo que las organizaciones deben abordar. Por ejemplo, las mejoras en el poder de cómputo pueden socavar las suposiciones
con respecto a lo que constituye un medio de autenticación suficientemente sólido (por ejemplo, el número de factores de autenticación) o un
mecanismo criptográfico.
Monitoreo automatizado versus manual

En términos generales, las organizaciones pueden realizar el seguimiento mediante métodos automatizados o manuales. Cuando el monitoreo
automatizado sea factible, debe emplearse porque generalmente es más rápido, más eficiente y más rentable que el monitoreo manual. El monitoreo
automatizado también es menos propenso a errores humanos. Sin embargo, no todos los monitoreos pueden aprovechar la automatización. El
monitoreo realizado en el Nivel 3 generalmente se presta a la automatización cuando las actividades que se monitorean se basan en tecnología de la
información. Por lo general, dichas actividades pueden detectarse, rastrearse y monitorearse mediante la instalación de software, hardware y/o firmware
adecuados. Para garantizar que los procesos, procedimientos y/o mecanismos automatizados que respaldan las actividades de monitoreo proporcionen
la información necesaria, dichos procesos, procedimientos y mecanismos deben validarse adecuadamente, actualizada y monitoreada. El monitoreo del
cumplimiento puede respaldarse con la automatización cuando las medidas de mitigación de riesgos que se validan se basan en tecnología de la
información (p. ej., instalación de firewalls o prueba de ajustes de configuración en computadoras de escritorio). Dicha validación automatizada a
menudo puede verificar si se han instalado medidas de mitigación de riesgos y si las instalaciones son correctas. Del mismo modo, el seguimiento de la
eficacia también puede estar respaldado por la automatización. Si las condiciones de umbral para determinar la efectividad de las medidas de respuesta
al riesgo están predeterminadas, entonces la automatización puede respaldar el monitoreo de dicha efectividad. Si bien la automatización puede ser una
capacidad de apoyo para los niveles 1 y 2, por lo general, la automatización no proporciona información sustancial para las actividades basadas en
tecnologías que no son de la información, que prevalecen más en esos niveles superiores. Las actividades que probablemente no se beneficiarán de la
automatización incluyen, por ejemplo, el uso de múltiples proveedores dentro de la cadena de suministro, la evolución de los entornos de operación o la
evaluación de la promesa de capacidades técnicas emergentes en apoyo de misiones/funciones comerciales. Donde el monitoreo automatizado no está
disponible, las organizaciones emplean el monitoreo y/o análisis manual.
Frecuencia de Monitoreo
La frecuencia del monitoreo de riesgos (ya sea automatizado o manual) está impulsada por las misiones/funciones comerciales de la
organización y la capacidad de las organizaciones de utilizar los resultados del monitoreo para facilitar una mayor conciencia de la situación.
Un mayor nivel de conciencia situacional del estado de seguridad de los sistemas de información de la organización y los entornos de
operación ayuda a las organizaciones a desarrollar una mejor comprensión del riesgo. La frecuencia de monitoreo también depende de otros
factores, por ejemplo: (i) la frecuencia anticipada de los cambios en los sistemas de información organizacional y los entornos operativos; (ii)
el impacto potencial del riesgo si no se aborda adecuadamente a través de medidas de respuesta apropiadas; y (iii) el grado en que está
cambiando el espacio de amenazas. La frecuencia del monitoreo también puede verse afectada por el tipo de monitoreo realizado (es decir,
enfoques automatizados versus procedimentales). Dependiendo de la frecuencia de monitoreo
____________________________________________________________________________________________________________________
requerido por las organizaciones, en la mayoría de las situaciones, el monitoreo es más eficiente y rentable
cuando se emplea la automatización. El monitoreo puede brindar beneficios significativos, especialmente
en situaciones en las que dicho monitoreo limita las oportunidades de que los adversarios se afiancen
dentro de las organizaciones (ya sea a través de los sistemas de información o los entornos en los que
operan esos sistemas). Cuando las organizaciones emplean el monitoreo manual, generalmente no es
eficiente realizar el monitoreo con la frecuencia que permite la automatización. En algunos casos, el
monitoreo poco frecuente no es un problema importante. Por ejemplo, las misiones/funciones comerciales,
las instalaciones, la legislación, las políticas y las tecnologías tienden a cambiar de forma más gradual y,
como tales, no se prestan a un seguimiento frecuente. En lugar de,
SEGUIMIENTO DE RIESGOS
TAREA 4-2:Supervisar los sistemas de información de la organización y los entornos de operación de forma continua para verificar el
cumplimiento, determinar la eficacia de las medidas de respuesta al riesgo e identificar cambios.
Orientación complementaria:Una vez que las organizaciones completan el desarrollo de sus estrategias de monitoreo, las
estrategias se implementan en toda la organización. Debido a que hay tantos aspectos diversos del monitoreo, no todos los
aspectos del monitoreo se pueden realizar, o se pueden realizar en diferentes momentos. Los aspectos particulares del monitoreo
que se realizan están dictados en gran medida por los supuestos, las restricciones, la tolerancia al riesgo y las prioridades/
compensaciones establecidas por las organizaciones durante el paso de elaboración del marco de riesgo. Por ejemplo, si bien las
organizaciones pueden desear realizar todas las formas de monitoreo (es decir, cumplimiento, efectividad y cambio), las
restricciones impuestas a las organizaciones pueden permitir solo el monitoreo del cumplimiento que se puede automatizar
fácilmente en el Nivel 3. Si se pueden implementar múltiples aspectos del monitoreo. ser apoyado,
Como se señaló anteriormente, no todas las actividades de monitoreo se llevan a cabo en los mismos niveles, con
el mismo propósito, al mismo tiempo o utilizando las mismas técnicas. Sin embargo, es importante que las
organizaciones intenten coordinar las diversas actividades de monitoreo. La coordinación de las actividades de
monitoreo facilita el intercambio de información relacionada con el riesgo que puede ser útil para las
organizaciones al proporcionar alertas tempranas, desarrollar información de tendencias o asignar medidas de
respuesta al riesgo de manera oportuna y eficiente. Si el monitoreo no está coordinado, entonces el beneficio del
monitoreo puede verse reducido y podría socavar el esfuerzo general para identificar y abordar el riesgo. En la
medida de lo posible, las organizaciones implementan las diversas actividades de monitoreo de una manera que
maximiza el objetivo general del monitoreo, mirando más allá de los objetivos limitados de las actividades de
monitoreo particulares.

El resultado del paso de monitoreo de riesgos es la información generada al: (i) verificar que se implementen las medidas de respuesta a riesgos
requeridas y que los requisitos de seguridad de la información se deriven y sean rastreables a las misiones/funciones comerciales de la organización,
legislación federal, directivas, reglamentos, políticas y se cumplen las normas/directrices; (ii) determinar la efectividad continua de las medidas de
respuesta al riesgo; y (iii) identificar cambios en los sistemas de información organizacionales y entornos de operación. Los resultados del paso de
monitoreo de riesgos pueden ser insumos útiles para los pasos de formulación de riesgos, evaluación de riesgos y respuesta al riesgo. Por ejemplo, los
resultados del monitoreo del cumplimiento pueden requerir que las organizaciones revisen la parte de implementación del paso de respuesta al riesgo,
mientras que los resultados del monitoreo de la efectividad pueden requerir que las organizaciones revisen todo el paso de respuesta al riesgo. Los
resultados del monitoreo de los cambios en los sistemas de información y los entornos de operación pueden requerir que las organizaciones revisen el
paso de evaluación de riesgos. Los resultados del paso de monitoreo de riesgos también pueden servir para el paso de encuadre de riesgos (p. ej.,
cuando las organizaciones descubren nuevas amenazas o vulnerabilidades que afectan los cambios en los supuestos de riesgo de la organización, la
tolerancia al riesgo y/o las prioridades/compensaciones).
____________________________________________________________________________________________________________________
APÉNDICE A
REFERENCIAS
LEYES, POLÍTICAS, DIRECTRICES, INSTRUCCIONES, NORMAS Y DIRECTRICES
LEGISLACIÓN
1. Ley de Gobierno Electrónico [incluye FISMA] (PL 107-347), diciembre de 2002.
2. Ley Federal de Gestión de la Seguridad de la Información (PL 107-347, Título III), diciembre de 2002.
POLÍTICAS,DIRECTIVAS,INSTRUCCIONES
1. Comisión de Sistemas de Seguridad Nacional (CNSS) Instrucción 4009,Glosario de Seguridad Nacional

de la Información (IA), abril de 2010.
2. Comisión de Sistemas de Seguridad Nacional (CNSS) Instrucción 1253,Categorización de Seguridad y

Selección de Control para Sistemas Nacionales de Seguridad, octubre de 2009.
3. Oficina de Gerencia y Presupuesto, Circular A-130, Apéndice III, Memorando de

Transmisión # 4,Manejo de Recursos Federales de Información, noviembre de 2000.
ESTÁNDARES
1. Instituto Nacional de Estándares y Tecnología Federal Information Processing Standards Publicación

199,Normas para la categorización de la seguridad de la información federal y los sistemas de
información, febrero de 2004.
2. Instituto Nacional de Estándares y Tecnología Federal Information Processing Standards

Publicación 200,Requisitos mínimos de seguridad para información federal y sistemas de
información, marzo de 2006.
ISO/IEC 15408: 2005,Criterios comunes para la evaluación de la seguridad de la tecnología de la información,
2005.
PAUTAS
1. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-18, Revisión 1, Guía para
desarrollar planes de seguridad para sistemas de información federales, febrero de 2006.
realizar evaluaciones de riesgos, (Publicación proyectada Primavera 2011).
aplicar el marco de gestión de riesgos a los sistemas de información federales: un enfoque del
ciclo de vida de la seguridad, febrero de 2010.
4. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-53, Revisión 3, Controles
de seguridad recomendados para organizaciones y sistemas de información federales, agosto de
2009.
5. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-53A, Revisión 1, Guía para
evaluar los controles de seguridad en sistemas y organizaciones de información federales:
creación de planes de evaluación de seguridad efectivos, junio de 2010.
6. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-59,Guía para la Identificación de
un Sistema de Información como Sistema de Seguridad Nacional, agosto de 2003.
APÉNDICE A PÁGINA A-1

____________________________________________________________________________________________________________________
mapear tipos de información y sistemas de información a categorías de seguridad, agosto de 2008.
8. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-70, Revisión 1, Programa Nacional de
Listas de Verificación para Productos TI - Directrices para Usuarios y Desarrolladores de Listas de Verificación,
septiembre de 2009.
9. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-137, Borrador público
inicial,Monitoreo continuo de seguridad de la información para organizaciones y sistemas de
información federales, diciembre de 2010.
APÉNDICE A PÁGINA A-2

____________________________________________________________________________________________________________________
APÉNDICE B
GLOSARIO
TÉRMINOS Y DEFINICIONES COMUNES
T Este apéndice proporciona definiciones para la terminología de seguridad utilizada en la Publicación especial
800-39. Los términos del glosario son coherentes con los términos utilizados en el conjunto de normas y
directrices de seguridad relacionadas con FISMA desarrolladas por NIST. A menos que se indique lo contrario,
todos los términos utilizados en esta publicación también son consistentes con las definiciones contenidas en la
Instrucción CNSS 4009,Glosario de Seguridad Nacional de la Información (IA).
Seguridad adecuada Seguridad acorde con el riesgo y la magnitud del daño

[Circular OMB A-130, Apéndice III] resultante de la pérdida, mal uso o acceso no autorizado
o modificación de la información.
Amenaza Persistente Avanzada Un adversario que posee niveles sofisticados de experiencia y

recursos significativos que le permiten crear oportunidades para
lograr sus objetivos mediante el uso de múltiples vectores de
ataque (p. ej., cibernético, físico y engañoso). Estos objetivos
generalmente incluyen establecer y extender puntos de apoyo
dentro de la infraestructura de tecnología de la información de las
organizaciones objetivo con el fin de filtrar información, socavar o
impedir aspectos críticos de una misión, programa u organización; o
posicionándose para llevar a cabo estos objetivos en el futuro. La
amenaza persistente avanzada: (i) persigue sus objetivos
repetidamente durante un período prolongado de tiempo; (ii) se
adapta a los esfuerzos de los defensores para resistirlo; y (iii) está
decidida a mantener el nivel de interacción necesario para ejecutar
sus objetivos.
Agencia MarAgencia ejecutiva.
Evaluación MarEvaluación de control de seguridad.
Asesor MarAsesor de Control de Seguridad.
Seguro Medida de confianza de que las características, prácticas,

[CNSSI 4009] procedimientos y arquitectura de seguridad de un sistema de
información median y hacen cumplir con precisión la política de
seguridad.
[NIST SP 800-53] Motivos para confiar en que el conjunto de controles de
seguridad previstos en un sistema de información son efectivos
en su aplicación.
Caso de garantía Un conjunto estructurado de argumentos y un cuerpo de evidencia que

[Instituto de Ingeniería de Software, muestra que un sistema de información satisface afirmaciones
Universidad Carnegie Mellon] específicas con respecto a un atributo de calidad dado.
Autenticación Verificar la identidad de un usuario, proceso o dispositivo, a menudo como

[FIP 200] requisito previo para permitir el acceso a los recursos en un sistema de
información.
APÉNDICE B PÁGINA B-1

____________________________________________________________________________________________________________________
Autenticidad La propiedad de ser genuino y poder ser verificado y

confiable; confianza en la validez de una transmisión,
un mensaje o el emisor del mensaje. Mar
Autenticación.
Autorización La decisión de gestión oficial tomada por un alto funcionario de una
(para operar) organización para autorizar el funcionamiento de un sistema de
información y aceptar explícitamente el riesgo de las operaciones de
la organización (incluidas la misión, las funciones, la imagen o la
reputación), los activos de la organización, las personas, otras
organizaciones y la Nación. sobre la implementación de un conjunto
acordado de controles de seguridad.
Límite de autorización Todos los componentes de un sistema de información deben ser

[NIST SP 800-37] autorizados para su funcionamiento por un funcionario autorizador y
excluye los sistemas autorizados por separado a los que está conectado
el sistema de información.
Oficial que autoriza Alto funcionario (federal) o ejecutivo con autoridad para asumir
[CNSSI 4009] formalmente la responsabilidad de operar un sistema de
información a un nivel aceptable de riesgo para las operaciones de
la organización (incluida la misión, las funciones, la imagen o la
reputación), los activos de la organización, las personas, otras
organizaciones y el Nación.
Disponibilidad Asegurar el acceso y uso oportuno y confiable de la

[44 USC, sec. 3542] información.
Director de información Funcionario de la agencia responsable de:

[PL 104-106, sec. 5125 (b)] (i) Brindar asesoramiento y otro tipo de asistencia al jefe de la
agencia ejecutiva y otro personal directivo superior de la agencia
para garantizar que la tecnología de la información se adquiera
y los recursos de información se administren de manera
compatible con las leyes, los decretos ejecutivos, las directivas y
las políticas. , reglamentos y prioridades establecidas por el
titular de la agencia;
(ii) Desarrollar, mantener y facilitar la implementación
de una arquitectura de tecnología de la información
sólida e integrada para la agencia; y
(iii) Promover el diseño y la operación efectivos y eficientes de todos
los principales procesos de gestión de recursos de información
para la agencia, incluidas las mejoras en los procesos de trabajo de
la agencia.
Director de seguridad de la información MarOficial superior de seguridad de la información de la agencia.
Información que se ha determinado de conformidad con la Orden

Información clasificada de
Ejecutiva 13526 o cualquier orden anterior que requiere protección
seguridad nacional
contra la divulgación no autorizada y está marcada para indicar su estado
[CNSSI 4009] clasificado cuando se encuentra en forma documental.

____________________________________________________________________________________________________________________
Control común Un control de seguridad que es heredado por uno o más sistemas de
[NIST SP 800-37] información organizacionales. MarHerencia de control de seguridad.
Proveedor de control común Un funcionario organizacional responsable del desarrollo,

[NIST SP 800-37] implementación, evaluación y monitoreo de controles comunes
(es decir, controles de seguridad heredados por los sistemas de
información).
Compensación de Control de Seguridad Un control de gestión, operativo y/o técnico (es decir, salvaguarda o
[CNSSI 4009] contramedida) empleado por una organización en lugar de un
control de seguridad recomendado en las líneas de base baja,
moderada o alta que proporciona una protección equivalente o
comparable para un sistema de información.
Confidencialidad Preservar las restricciones autorizadas sobre el acceso y la divulgación

[44 USC, sec. 3542] de la información, incluidos los medios para proteger la privacidad
personal y la información de propiedad.
Curso de acción (respuesta al riesgo) Una combinación de medidas de respuesta al riesgo escalonada en el tiempo o
dependiente de la situación.
ataque cibernético Un ataque, a través del ciberespacio, dirigido al uso del

[CNSSI 4009] ciberespacio por parte de una empresa con el propósito de
interrumpir, deshabilitar, destruir o controlar maliciosamente un
entorno/infraestructura informática; o destruir la integridad de los
datos o robar información controlada.
Seguridad Cibernética La capacidad de proteger o defender el uso del ciberespacio de los

[CNSSI 4009] ataques cibernéticos.
ciberespacio Un dominio global dentro del entorno de la información que

[CNSSI 4009] consiste en la red interdependiente de infraestructuras de
sistemas de información que incluyen Internet, redes de
telecomunicaciones, sistemas informáticos y procesadores y
controladores integrados.
Defensa en amplitud Un conjunto planificado y sistemático de actividades

[CNSSI 4009] multidisciplinarias que buscan identificar, gestionar y reducir el
riesgo de vulnerabilidades explotables en cada etapa del ciclo
de vida del sistema, red o subcomponente (diseño y desarrollo
del sistema, red o producto; fabricación; empaque;
ensamblaje). , integración de sistemas, distribución,
operaciones, mantenimiento y retiro).
Defensa en profundidad Estrategia de seguridad de la información que integra personas,

[CNSSI 4009] tecnología y capacidades operativas para establecer barreras
variables en múltiples capas y misiones de la organización.

____________________________________________________________________________________________________________________
Empresa Una organización con una misión/objetivo definido y un límite

[CNSSI 4009] definido, que utiliza sistemas de información para ejecutar esa
misión y tiene la responsabilidad de administrar sus propios riesgos
y desempeño. Una empresa puede constar de todos o algunos de
los siguientes aspectos comerciales: adquisición, gestión de
programas, gestión financiera (por ejemplo, presupuestos),
recursos humanos, seguridad y sistemas de información,
información y gestión de misiones. Mar Organización.
Arquitectura empresarial La descripción del conjunto completo de sistemas de

[CNSSI 4009] información de una empresa: cómo se configuran, cómo se
integran, cómo interactúan con el entorno externo en los
límites de la empresa, cómo se operan para respaldar la
misión de la empresa y cómo contribuyen a la empresa.
postura general de seguridad.
Entorno de operación El entorno físico en el que un sistema de información

[NIST SP 800-37] procesa, almacena y transmite información.
Agencia ejecutiva Un departamento ejecutivo especificado en 5 USC, Sec. 101; un

[41 USC, sec. 403] departamento militar especificado en 5 USC, Sec. 102; un
establecimiento independiente como se define en 5 USC, Sec. 104
(1); y una corporación de propiedad total del gobierno sujeta por
completo a las disposiciones de 31 USC, Capítulo 91.
Agencia Federal MarAgencia ejecutiva.
información federal Un sistema de información utilizado u operado por una agencia

Sistema ejecutiva, por un contratista de una agencia ejecutiva o por otra
[40 USC, sec. 11331] organización en nombre de una agencia ejecutiva.
Control de seguridad híbrido Un control de seguridad que se implementa en un sistema de

[NIST SP 800-53] información en parte como un control común y en parte como un
control específico del sistema. MarControl comúny Control de
seguridad específico del sistema.
Individuos Un objeto de evaluación que incluye personas que aplican

especificaciones, mecanismos o actividades.
Sistema de Control Industrial Un sistema de información utilizado para controlar procesos industriales
como la fabricación, el manejo de productos, la producción y la
distribución. Los sistemas de control industrial incluyen sistemas de
control de supervisión y adquisición de datos utilizados para controlar
activos dispersos geográficamente, así como sistemas de control
distribuido y sistemas de control más pequeños que utilizan
controladores lógicos programables para controlar procesos
localizados.
Información Cualquier comunicación o representación de conocimientos

[CNSSI 4009] tales como hechos, datos u opiniones en cualquier medio o
forma, ya sea textual, numérica, gráfica, cartográfica, narrativa
o audiovisual.
[FIP 199] Una instancia de un tipo de información.

____________________________________________________________________________________________________________________
Propietario de la información Funcionario con autoridad estatutaria u operativa sobre

[CNSSI 4009] determinada información y responsable de establecer los
controles para su generación, clasificación, recolección,
procesamiento, difusión y disposición. Maradministrador de
información.
Recursos de información Información y recursos relacionados, como personal,

[44 USC, sec. 3502] equipo, fondos y tecnología de la información.
Seguridad de información La protección de la información y los sistemas de información

[44 USC, sec. 3542] contra el acceso, uso, divulgación, interrupción, modificación o
destrucción no autorizados a fin de proporcionar
confidencialidad, integridad y disponibilidad.
Arquitectura de seguridad de la información Una parte integrada e integral de la arquitectura empresarial que
describe la estructura y el comportamiento de los procesos de
seguridad, los sistemas de seguridad de la información, el personal y las
subunidades organizacionales de una empresa, mostrando su alineación
con la misión y los planes estratégicos de la empresa.
Plan del programa de seguridad de la información Documento formal que proporciona una descripción general de los
[NIST SP 800-53] requisitos de seguridad para un programa de seguridad de la
información de toda la organización y describe los controles de
gestión del programa y los controles comunes implementados o
planificados para cumplir con esos requisitos.
administrador de información Un funcionario de la agencia con autoridad estatutaria u operativa

[CNSSI 4009] para información específica y la responsabilidad de establecer los
controles para su generación, recopilación, procesamiento,
difusión y eliminación.
Sistema de informacion Un conjunto discreto de recursos de información organizados para la

[44 USC, sec. 3502] recopilación, el procesamiento, el mantenimiento, el uso, el intercambio, la
difusión o la disposición de información.
Límite del sistema de información MarLímite de autorización.

Propietario del sistema de información (o Oficial responsable de la adquisición, desarrollo,
administrador del programa) integración, modificación u operación y mantenimiento
general de un sistema de información.
Resiliencia del sistema de información La capacidad de un sistema de información para continuar: (i)
operando bajo condiciones adversas o estrés, incluso si se encuentra
en un estado degradado o debilitado, mientras mantiene capacidades
operativas esenciales; y (ii) recuperar una postura operativa efectiva en
un marco de tiempo consistente con las necesidades de la misión.
Sistema de informacion Responsabilidad individual asignada por el oficial superior de

Oficial de seguridad seguridad de la información de la agencia, el oficial que autoriza, el
oficial de gestión o el propietario del sistema de información para
mantener la postura de seguridad operativa adecuada para un
sistema o programa de información.

____________________________________________________________________________________________________________________
Riesgo de seguridad de la información El riesgo para las operaciones organizacionales (incluyendo

misión, funciones, imagen, reputación), activos
organizacionales, individuos, otras organizaciones y la Nación
debido al potencial de acceso no autorizado, uso, divulgación,
interrupción, modificación o destrucción de información y/o
sistemas de información.
Riesgos de seguridad relacionados con el Riesgos que surgen por la pérdida de confidencialidad,
sistema de información integridad o disponibilidad de información o sistemas de
información y consideran impactos a la organización
(incluyendo activos, misión, funciones, imagen o
reputación), individuos, otras organizaciones y la Nación.
MarRiesgo.
Tecnologías de la información Cualquier equipo o sistema interconectado o subsistema de

[40 USC, sec. 1401] equipo que se utilice en la adquisición, almacenamiento,
manipulación, manejo, movimiento, control, visualización,
conmutación, intercambio, transmisión o recepción automática
de datos o información por parte de la agencia ejecutiva. A los
fines de la oración anterior, el equipo es utilizado por una
agencia ejecutiva si el equipo es utilizado directamente por la
agencia ejecutiva o si lo utiliza un contratista en virtud de un
contrato con la agencia ejecutiva que: (i) requiere el uso de
dicho equipo; o (ii) requiere el uso, en una medida significativa,
de dicho equipo en la prestación de un servicio o el suministro
de un producto. El término tecnología de la información incluye
computadoras, equipos auxiliares, software, firmware y
procedimientos, servicios (incluidos los servicios de soporte) y
recursos relacionados similares.
Tipo de información Una categoría específica de información (p. ej., privacidad,

[FIP 199] médica, patentada, financiera, de investigación, confidencial de
contratistas, gestión de seguridad) definida por una organización
o, en algunos casos, por una ley específica, orden ejecutiva,
directiva, política o regulación.
Integridad Proteger contra la modificación o destrucción inapropiada de

[44 USC, sec. 3542] la información, e incluye garantizar el no repudio y la
autenticidad de la información.
Controles de gestión Los controles de seguridad (es decir, salvaguardias o

[FIP 200] contramedidas) para un sistema de información que se centran en
la gestión de riesgos y la gestión de la seguridad del sistema de
información.

____________________________________________________________________________________________________________________
Sistema de Seguridad Nacional Cualquier sistema de información (incluido

[44 USC, sec. 3542] cualquier sistema de telecomunicaciones) utilizado
u operado por una agencia o por un contratista de
una agencia u otra organización en nombre de una
agencia (i) cuya función, operación o uso involucra
actividades de inteligencia; implica actividades
criptológicas relacionadas con la seguridad
nacional; implica mando y control de fuerzas
militares; involucra equipo que es una parte integral
de un arma o sistema de armas; o es fundamental
para el cumplimiento directo de misiones militares
o de inteligencia (excluyendo un sistema que se
utilizará para aplicaciones comerciales y
administrativas de rutina, por ejemplo, aplicaciones
de nómina, finanzas, logística y gestión de
personal);
Controles operativos Los controles de seguridad (es decir, salvaguardas o

[FIP 200] contramedidas) para un sistema de información que son
principalmente implementados y ejecutados por personas (a
diferencia de los sistemas).
Organización Una entidad de cualquier tamaño, complejidad o posición dentro de una

[FIPS 200, Adaptado] estructura organizacional (por ejemplo, una agencia federal o, según
corresponda, cualquiera de sus elementos operativos). Mar Empresa.
Plan de Acción e Un documento que identifica las tareas que deben realizarse.
Hitos Detalla los recursos necesarios para lograr los elementos del
[Memorándum OMB 02-01] plan, los hitos en el cumplimiento de las tareas y las fechas de
finalización programadas para los hitos.
Reciprocidad Acuerdo mutuo entre las organizaciones participantes para aceptar

las evaluaciones de seguridad de cada uno para reutilizar los
recursos del sistema de información y/o para aceptar la postura de
seguridad evaluada de cada uno para compartir información.
Resiliencia MarResiliencia del sistema de información.
Riesgo Una medida de la medida en que una entidad se ve amenazada

[CNSSI 4009] por una circunstancia o evento potencial, y típicamente una
función de: (i) los impactos adversos que surgirían si la
circunstancia o evento ocurre; y (ii) la probabilidad de
ocurrencia.
[Nota: Los riesgos de seguridad relacionados con los sistemas de información son
aquellos riesgos que surgen de la pérdida de confidencialidad, integridad o
disponibilidad de la información o los sistemas de información y reflejan los posibles
impactos adversos en las operaciones de la organización (incluida la misión, las
funciones, la imagen o la reputación), activos organizacionales, individuos, otras
organizaciones y la Nación.]

____________________________________________________________________________________________________________________
Evaluación de riesgos El proceso de identificación de riesgos para las operaciones

organizacionales (incluyendo misión, funciones, imagen,
reputación), activos organizacionales, individuos, otras
organizaciones y la Nación, resultantes de la operación de
un sistema de información.
Parte de la gestión de riesgos, incorpora análisis de amenazas y
vulnerabilidades y considera las mitigaciones proporcionadas por
los controles de seguridad planificados o implementados.
Sinónimo de análisis de riesgo.
Ejecutivo de Riesgos (Función) Un individuo o grupo dentro de una organización que ayuda a
[CNSSI 4009] garantizar que: (i) las consideraciones relacionadas con los riesgos de
seguridad para los sistemas de información individuales, incluidas las
decisiones de autorización para esos sistemas, se vean desde una
perspectiva de toda la organización con respecto a los objetivos
estratégicos generales y objetivos de la organización en el desempeño
de sus misiones y funciones comerciales; y (ii) la gestión del riesgo de
los sistemas de información individuales es consistente en toda la
organización, refleja la tolerancia al riesgo organizacional y se considera
junto con otros riesgos organizacionales que afectan el éxito de la
misión/negocio.
Gestión de riesgos El programa y los procesos de apoyo para gestionar el riesgo de seguridad
[CNSSI 4009, adaptado] de la información para las operaciones de la organización (incluida la
misión, las funciones, la imagen, la reputación), los activos de la
organización, las personas, otras organizaciones y la Nación, e incluye: (i)
establecer el contexto para las actividades relacionadas con el riesgo ; (ii)
evaluación de riesgos; (iii) responder al riesgo una vez determinado; y (iv)
seguimiento del riesgo a lo largo del tiempo.
Mitigación de riesgos Priorizar, evaluar e implementar los controles/

[CNSSI 4009] contramedidas de reducción de riesgos apropiados
recomendados en el proceso de gestión de riesgos.
Monitoreo de Riesgos Mantener una conciencia continua del entorno de riesgo de una
organización, el programa de gestión de riesgos y las actividades
asociadas para respaldar las decisiones de riesgo.
Respuesta a los riesgos Aceptar, evitar, mitigar, compartir o transferir riesgos a las
operaciones de la organización (es decir, misión, funciones,
imagen o reputación), activos de la organización, individuos,
otras organizaciones o la Nación.
Medida de respuesta al riesgo Una acción específica tomada para responder a un riesgo identificado.
Análisis de raíz de la causa Un enfoque de sistemas basado en principios para la identificación de

causas subyacentes asociadas con un conjunto particular de riesgos.
Autorización de seguridad MarAutorización (para operar).

(para operar)

____________________________________________________________________________________________________________________
Categorización de seguridad El proceso de determinar la categoría de seguridad para la

información o un sistema de información. Las metodologías de
categorización de seguridad se describen en la Instrucción 1253
de la CNSS para los sistemas de seguridad nacional y en la FIPS
199 para otros sistemas que no sean de seguridad nacional.
Evaluación de control de seguridad La prueba y/o evaluación de los controles de seguridad de

[CNSSI 4009, Adaptado] gestión, operativos y técnicos para determinar hasta qué punto
los controles se implementan correctamente, funcionan según lo
previsto y producen el resultado deseado con respecto al
cumplimiento de los requisitos de seguridad para un sistema u
organización de información. .
Asesor de Control de Seguridad El individuo, grupo u organización responsable de realizar

una evaluación de control de seguridad.
Línea base de control de seguridad El conjunto de controles mínimos de seguridad definidos para
[CNSSI 4009] un sistema de información de bajo, moderado o alto impacto.
Mejoras en el control de seguridad Declaraciones de capacidad de seguridad para: (i) incorporar

funcionalidad adicional, pero relacionada, a un control básico;
y/o (ii) aumentar la fuerza de un control básico.
Herencia de control de seguridad Una situación en la que un sistema de información o una

[CNSSI 4009] aplicación recibe protección de los controles de seguridad (o
partes de los controles de seguridad) que son desarrollados,
implementados, evaluados, autorizados y monitoreados por
entidades distintas a las responsables del sistema o la
aplicación; entidades internas o externas a la organización
donde reside el sistema o la aplicación. MarControl común.
Controles de seguridad Los controles administrativos, operativos y técnicos (es

[FIPS 199, CNSSI 4009] decir, salvaguardas o contramedidas) prescritos para un
sistema de información para proteger la confidencialidad,
integridad y disponibilidad del sistema y su información.
Análisis de impacto de seguridad El análisis realizado por un funcionario de la organización para

[NIST SP 800-37] determinar en qué medida los cambios en el sistema de
información han afectado el estado de seguridad del sistema.
Objetivo de seguridad Confidencialidad, integridad o disponibilidad.

[FIP 199]
Plan de seguridad Documento formal que proporciona una descripción general de los
[NIST SP 800-18] requisitos de seguridad para un sistema de información o un programa de
seguridad de la información y describe los controles de seguridad
implementados o planificados para cumplir con esos requisitos.
MarPlan de seguridad del sistemaoPlan del programa de seguridad de

la información.
Politica de seguridad Un conjunto de criterios para la prestación de servicios de seguridad.

[CNSSI 4009]

____________________________________________________________________________________________________________________
Requerimientos de seguridad Los requisitos impuestos a un sistema de información que se

[FIP 200] derivan de las leyes aplicables, órdenes ejecutivas, directivas,
políticas, estándares, instrucciones, reglamentos, procedimientos o
necesidades de la misión/caso comercial de la organización para
garantizar la confidencialidad, integridad y disponibilidad de la
información que se procesa. almacenada o transmitida.
Agencia sénior Funcionario responsable de llevar a cabo las responsabilidades del

Seguridad de información Director de información conforme a FISMA y servir como enlace principal
Oficial del Director de información con los funcionarios autorizadores de la
[44 USC, sec. 3544] agencia, los propietarios del sistema de información y los oficiales de
seguridad del sistema de información.
[Nota: Las organizaciones subordinadas a agencias federales pueden usar el término Oficial
superior de seguridad de la informaciónoDirector de seguridad de la informaciónpara denotar a
las personas que ocupan puestos con responsabilidades similares a las de los oficiales superiores
de seguridad de la información de la agencia.]
Oficial superior de seguridad de la MarOficial superior de seguridad de la información de la agencia.

información
Subsistema Subdivisión o componente principal de un sistema de

información que consta de información, tecnología de la
información y personal que realiza una o más funciones
específicas.
Complementación (Controles de El proceso de agregar controles de seguridad o mejoras de control a

Seguridad) una línea base de control de seguridad de la Publicación especial
800-53 de NIST o la Instrucción 1253 de CNSS para satisfacer
adecuadamente las necesidades de gestión de riesgos de la
organización.
Sistema MarSistema de informacion.
Plan de seguridad del sistema Documento formal que brinda una descripción general de los
[NIST SP 800-18] requisitos de seguridad para un sistema de información y describe
los controles de seguridad implementados o planeados para
cumplir con esos requisitos.
Control de seguridad específico del sistema Un control de seguridad para un sistema de información que
[NIST SP 800-37] no ha sido designado como control común o la parte de un
control híbrido que se implementará dentro de un sistema de
información.
Sastrería El proceso mediante el cual se modifica una línea base de control de

[NIST SP 800-53, CNSSI 4009] seguridad en función de: (i) la aplicación de la guía de alcance; (ii) la
especificación de controles de seguridad compensatorios, en caso de ser
necesarios; y (iii) la especificación de parámetros definidos por la
organización en los controles de seguridad a través de declaraciones
explícitas de asignación y selección.
Línea base de control de seguridad personalizada Un conjunto de controles de seguridad resultantes de la aplicación de una
guía de adaptación a la línea de base del control de seguridad. Mar Sastrería
.

____________________________________________________________________________________________________________________
Controles técnicos Controles de seguridad (es decir, salvaguardas o contramedidas)

[FIP 200] para un sistema de información que son principalmente
implementados y ejecutados por el sistema de información a través
de mecanismos contenidos en los componentes de hardware,
software o firmware del sistema.
Amenaza Cualquier circunstancia o evento con el potencial de afectar

[CNSSI 4009] negativamente las operaciones de la organización (incluida la misión, las
funciones, la imagen o la reputación), los activos de la organización, las
personas, otras organizaciones o la Nación a través de un sistema de
información a través del acceso no autorizado, la destrucción, la
divulgación o la modificación de la información. , y/o denegación de
servicio.
Evaluación de amenazas Proceso de evaluar formalmente el grado de amenaza a un

[CNSSI 4009] sistema de información o empresa y describir la naturaleza de
la amenaza.
Origen de la amenaza La intención y el método dirigido a la explotación intencional de

[CNSSI 4009] una vulnerabilidad o una situación y el método que puede
explotar accidentalmente una vulnerabilidad.
Integridad El atributo de una persona o empresa que brinda confianza a otros

[CNSSI 4009] sobre las calificaciones, capacidades y confiabilidad de esa entidad
para realizar tareas específicas y cumplir con las responsabilidades
asignadas.
Vulnerabilidad Debilidad en un sistema de información, procedimientos de seguridad
[CNSSI 4009] del sistema, controles internos o implementación que podría ser
explotada por una fuente de amenazas.
Evaluación de vulnerabilidad Examen sistemático de un sistema o producto de información para

[CNSSI 4009] determinar la idoneidad de las medidas de seguridad, identificar las
deficiencias de seguridad, proporcionar datos a partir de los cuales
predecir la eficacia de las medidas de seguridad propuestas y confirmar
la idoneidad de dichas medidas después de la implementación.

____________________________________________________________________________________________________________________
APÉNDICE C
ACRÓNIMOS
ABREVIATURAS COMUNES
APTO Director de información de amenazas
director de información persistentes avanzadas Comité de sistemas
CNSS de seguridad nacional Comercial listo para
CUNAS usar
Departamento de Defensa Departamento de Defensa
FIPS Normas Federales de Procesamiento de la Información Ley
FISMA Federal de Gestión de la Seguridad de la Información Garantía
IA de la Información
SCI Sistema de Control Industrial Comisión
CEI Electrotécnica Internacional Organización
YO ASI Internacional de Normalización Instituto Nacional
NIST de Normas y Tecnología Agencia Nacional de
NSA Seguridad
ODNI Oficina del Director de Inteligencia Nacional
OGP Oficina de Gerencia y Presupuesto
POAM Plan de acción e hitos Marco de gestión de
RMF riesgos Protocolo de automatización de
SCAP contenido de seguridad Publicación
SP especial
USC Código de Estados Unidos
APÉNDICE C PÁGINA C-1

____________________________________________________________________________________________________________________
APÉNDICE D
FUNCIONES Y RESPONSABILIDADES
PARTICIPANTES CLAVE EN EL PROCESO DE GESTIÓN DE RIESGOS
T Las siguientes secciones describen las funciones y responsabilidades66de participantes clave involucrados en el
proceso de gestión de riesgos de una organización.67Reconociendo que las organizaciones tienen misiones y
estructuras organizacionales que varían ampliamente, puede haber diferencias en las convenciones de nombres
para los roles relacionados con la gestión de riesgos y cómo se asignan las responsabilidades específicas entre el personal
de la organización (p. ej., varias personas que desempeñan un solo rol o una persona que desempeña varios roles).68Sin
embargo, las funciones básicas siguen siendo las mismas. La aplicación del proceso de gestión de riesgos en los tres
niveles de gestión de riesgos descritos en esta publicación es flexible, lo que permite a las organizaciones lograr de
manera efectiva la intención de las tareas específicas dentro de sus respectivas estructuras organizativas para gestionar
mejor el riesgo.
D.1 JEFE DE AGENCIA(DIRECTOR EJECUTIVO)
Eljefe de agencia(o director ejecutivo) es el funcionario o ejecutivo de más alto nivel dentro de una organización
con la responsabilidad general de proporcionar protecciones de seguridad de la información acordes con el riesgo
y la magnitud del daño (es decir, el impacto) a las operaciones y activos de la organización, individuos, otras
organizaciones, y la Nación como resultado del acceso, uso, divulgación, interrupción, modificación o destrucción
no autorizados de: (i) información recopilada o mantenida por o en nombre de la agencia; y (ii) sistemas de
información utilizados u operados por una agencia o por un contratista de una agencia u otra organización en
nombre de una agencia. Los jefes de las agencias también son responsables de garantizar que: (i) los procesos de
gestión de la seguridad de la información estén integrados con los procesos de planificación estratégica y
operativa; (ii) los altos funcionarios dentro de la organización brindan seguridad de la información para la
información y los sistemas de información que respaldan las operaciones y los activos bajo su control; y (iii) la
organización cuenta con suficiente personal capacitado para ayudar a cumplir con los requisitos de seguridad de
la información en la legislación, políticas, directivas, instrucciones, estándares y lineamientos relacionados. A
través del desarrollo e implementación de políticas sólidas, el jefe de la agencia establece el compromiso de la
organización con la seguridad de la información y las acciones requeridas para gestionar eficazmente el riesgo y
proteger las misiones/funciones comerciales que lleva a cabo la organización. El jefe de la agencia establece la
rendición de cuentas adecuada para la seguridad de la información y brinda apoyo y supervisión activos para
monitorear y mejorar el programa de seguridad de la información. El compromiso del liderazgo senior con la
seguridad de la información establece un nivel de debida diligencia dentro de la organización que promueve un
clima para el éxito de la misión y el negocio.
D.2 EJECUTIVO DE RIESGO(FUNCIÓN)
Elejecutivo de riesgos (función)es un individuo o grupo dentro de una organización que proporciona un
enfoque más integral de toda la organización para la gestión de riesgos. El ejecutivo de riesgos (función)
sirve como recurso común de gestión de riesgos para los líderes senior/ejecutivos, misión/negocio
66Las funciones y responsabilidades descritas en este apéndice son consistentes con las funciones y responsabilidades asociadas
con el Marco de Gestión de Riesgos en la Publicación Especial 800-37 del NIST.
67Las organizaciones pueden definir otros roles (por ejemplo, gerente de instalaciones, gerente de recursos humanos, administrador de sistemas)
para respaldar el proceso de gestión de riesgos.
68Se debe tener precaución cuando una persona cumple múltiples funciones en el proceso de gestión de riesgos para garantizar que
la persona conserve un nivel adecuado de independencia y se mantenga libre de conflictos de intereses.
APÉNDICE D PÁGINA D-1

____________________________________________________________________________________________________________________
propietarios, directores de información, directores de seguridad de la información, propietarios de sistemas de información,

proveedores de control común, arquitectos empresariales, arquitectos de seguridad de la información, sistemas de información/
ingenieros de seguridad, gerentes/oficiales de seguridad de los sistemas de información y cualquier otra parte interesada que
tenga un interés personal en la misión / éxito empresarial de las organizaciones. El ejecutivo de riesgos (función) se coordina con
los líderes/ejecutivos senior para:
• Establecer funciones y responsabilidades de gestión de riesgos;
• Desarrollar e implementar un plan de acción en toda la organizaciónestrategia de gestión de riesgosque guía e

informa las decisiones de riesgo organizacional (incluyendo cómo se enmarca, evalúa, responde y monitorea el
riesgo a lo largo del tiempo);
• Gestionar la información sobre amenazas y vulnerabilidades con respecto a los sistemas de información de
la organización y los entornos en los que operan los sistemas;
• Establecer foros en toda la organización para considerar todos los tipos y fuentes de riesgo (incluido el
riesgo agregado);
• Determinar el riesgo organizacional con base en el riesgo agregado de la operación y uso de los
sistemas de información y los respectivos ambientes de operación;
• Supervisar las actividades de gestión de riesgos llevadas a cabo por las organizaciones para garantizar
decisiones coherentes y eficaces basadas en riesgos;
• Desarrollar una mayor comprensión del riesgo con respecto a la visión estratégica de las organizaciones y sus
operaciones integradas;
• Establecer vehículos efectivos y servir como punto focal para comunicar y compartir información
relacionada con el riesgo entre las partes interesadas clave internas y externas a las organizaciones;
• Especificar el grado de autonomía para las organizaciones subordinadas permitidas por las
organizaciones matrices con respecto a enmarcar, evaluar, responder y monitorear el riesgo;
• Promover la cooperación y la colaboración entre los funcionarios autorizadores para incluir acciones de autorización de
seguridad que requieran una responsabilidad compartida (por ejemplo, autorizaciones conjuntas/apalancadas);
• Asegúrese de que las decisiones de autorización de seguridad consideren todos los factores necesarios para el éxito de
la misión y el negocio; y
• Asegúrese de que la responsabilidad compartida para respaldar las misiones organizacionales y las funciones comerciales
utilizando proveedores externos reciba la visibilidad necesaria y se eleve a las autoridades de toma de decisiones
correspondientes.
El ejecutivo de riesgos (función) no presupone una estructura organizativa específica ni una

responsabilidad formal asignada a ningún individuo o grupo dentro de la organización. Los jefes de
agencias u organizaciones pueden optar por retener la (función) ejecutiva de riesgos o delegar la
función. El ejecutivo de riesgos (función) requiere una combinación de habilidades, experiencia y
perspectivas para comprender las metas y objetivos estratégicos de las organizaciones, las misiones
organizacionales/funciones comerciales, las posibilidades técnicas y las limitaciones, y los mandatos
clave y la orientación que dan forma a las operaciones organizacionales. Para proporcionar esta
combinación necesaria, el ejecutivo de riesgos (función) puede ser ocupado por una sola persona u
oficina (con el apoyo de un personal experto) o por un grupo designado (p. ej., una junta de riesgos,
un comité directivo ejecutivo, un consejo de liderazgo ejecutivo).

____________________________________________________________________________________________________________________
D.3 DIRECTOR DE INFORMACIÓN
Eldirector de información69es un funcionario de la organización responsable de: (i) designar un oficial

superior de seguridad de la información; (ii) desarrollar y mantener políticas, procedimientos y
técnicas de control de seguridad de la información para abordar todos los requisitos aplicables; (iii)
supervisar al personal con responsabilidades significativas para la seguridad de la información y
garantizar que el personal esté adecuadamente capacitado; (iv) ayudar a los altos funcionarios de la
organización con respecto a sus responsabilidades de seguridad; y (v) en coordinación con otros altos
funcionarios, informar anualmente al jefe de la agencia federal sobre la efectividad general del
programa de seguridad de la información de la organización, incluido el progreso de las acciones
correctivas. El director de información, con el apoyo del ejecutivo de riesgos (función) y el oficial
superior de seguridad de la información,
• Se implementa de manera efectiva un programa de seguridad de la información en toda la organización que da como
resultado una seguridad adecuada para todos los sistemas de información de la organización y los entornos de operación
de esos sistemas;
• Las consideraciones de seguridad de la información se integran en los ciclos de programación/planificación/

presupuesto, arquitecturas empresariales y ciclos de vida de adquisición/desarrollo de sistemas;
• Los sistemas de información están amparados por planes de seguridad aprobados y autorizados para operar;
• Las actividades relacionadas con la seguridad de la información requeridas en toda la organización se realizan
de manera eficiente, rentable y oportuna; y
• Existe un informe centralizado de actividades apropiadas relacionadas con la seguridad de la información.
El director de información y los funcionarios autorizadores también determinan, en función de las prioridades de
la organización, la asignación adecuada de los recursos dedicados a la protección de los sistemas de información
que respaldan las misiones y funciones comerciales de la organización. Para sistemas de información
seleccionados, el director de información puede ser designado como oficial autorizador o coautorizador con
otros funcionarios superiores de la organización. El rol de director de información tiene autoridad inherente del
gobierno de los EE. UU. y se asigna únicamente al personal del gobierno.
D.4 PROPIETARIO DE LA INFORMACIÓN/MAYORDOMO
Elpropietario / administrador de la informaciónes un funcionario de la organización con autoridad estatutaria, de

gestión u operativa para información específica y la responsabilidad de establecer las políticas y procedimientos
que rigen su generación, recopilación, procesamiento, difusión y eliminación.70En entornos de intercambio de
información, el propietario o administrador de la información es responsable de establecer las reglas para el uso
apropiado y la protección de la información en cuestión (p. ej., reglas de comportamiento) y retiene esa
responsabilidad cuando la información se comparte o se proporciona a otras organizaciones. El propietario/
administrador de la información procesada, almacenada o transmitida por un sistema de información
69Cuando una organización no ha designado un puesto formal de director de información, FISMA requiere que las responsabilidades
asociadas sean manejadas por un funcionario de la organización comparable.
70La información federal es un bien de la Nación, no de una agencia federal en particular o de sus organismos subordinados. Con ese espíritu,
muchas agencias federales están desarrollando políticas, procedimientos, procesos y la capacitación necesaria para poner fin a la práctica de
propiedad de la informacióne implementar la práctica deadministración de la información. La custodia de la información es el manejo
cuidadoso y responsable de la información federal perteneciente a la Nación en su conjunto, independientemente de la entidad o fuente que
haya originado, creado o recopilado la información. Los administradores de la información brindan el máximo acceso a la información federal
a elementos del gobierno federal y sus clientes, equilibrado por la obligación de proteger la información de acuerdo con las disposiciones de
FISMA y cualquier política, directiva, reglamento, estándar y guía federal relacionado con la seguridad. .

____________________________________________________________________________________________________________________
puede o no ser el mismo que el propietario del sistema. Un solo sistema de información puede contener información de múltiples
propietarios/administradores de información. Los propietarios/administradores de la información brindan información a los
propietarios del sistema de información con respecto a los requisitos de seguridad y los controles de seguridad para los sistemas
donde se procesa, almacena o transmite la información.
D.5 FUNCIONARIO SUPERIOR DE SEGURIDAD DE LA INFORMACIÓN
Eloficial superior de seguridad de la informaciónes un funcionario de la organización responsable de: (i) llevar a cabo las
responsabilidades de seguridad del director de información conforme a FISMA; y (ii) actuar como enlace principal del
director de información con los funcionarios autorizadores de la organización, los propietarios del sistema de
información, los proveedores de control común y los oficiales de seguridad del sistema de información. El oficial superior
de seguridad de la información: (i) posee las calificaciones profesionales, incluidas la capacitación y la experiencia,
necesarias para administrar las funciones del programa de seguridad de la información; (ii) mantiene las funciones de
seguridad de la información como responsabilidad principal; y (iii) dirige una oficina con la misión y los recursos para
ayudar a la organización a lograr información y sistemas de información más seguros de acuerdo con los requisitos de
FISMA. El oficial superior de seguridad de la información (o los miembros del personal de apoyo) también pueden actuar
como representantes designados oficiales autorizadores o asesores de control de seguridad. El rol de oficial superior de
seguridad de la información tiene autoridad inherente del gobierno de los EE. UU. y se asigna únicamente al personal del
gobierno.
D.6 OFICIAL AUTORIZADOR
Eloficial que autorizaes un alto funcionario o ejecutivo con autoridad para asumir formalmente la responsabilidad de operar un sistema de información a un nivel aceptable de riesgo para las
operaciones y los activos de la organización, las personas, otras organizaciones y la Nación.71Los funcionarios encargados de la autorización normalmente tienen supervisión presupuestaria para un
sistema de informaciónoson responsables de la misión y/o operaciones comerciales soportadas por el sistema. A través del proceso de autorización de seguridad, los funcionarios autorizadores son
explicablepara los riesgos de seguridad asociados con las operaciones del sistema de información. En consecuencia, los funcionarios autorizadores ocupan puestos de gestión con un nivel de autoridad
acorde con la comprensión y aceptación de tales riesgos de seguridad relacionados con el sistema de información. Los oficiales que autorizan también aprueban planes de seguridad, memorandos de
acuerdo o entendimiento, y planes de acción e hitos y determinan si cambios significativos en los sistemas de información o entornos de operación requieren reautorización. Los funcionarios
autorizadores pueden denegar la autorización para operar un sistema de información o, si el sistema está operativo, detener las operaciones, si existen riesgos inaceptables. Los ordenadores coordinan
sus actividades con el ejecutivo de riesgos (función), el director de información, el oficial superior de seguridad de la información, los proveedores de control común, propietarios del sistema de
información, oficiales de seguridad del sistema de información, asesores de control de seguridad y otras partes interesadas durante el proceso de autorización de seguridad. Con la creciente complejidad
de los procesos de misión/negocios, los acuerdos de asociación y el uso de servicios externos/compartidos, es posible que un sistema de información particular pueda involucrar a varios funcionarios
autorizadores. De ser así, se establecen acuerdos entre los ordenadores y se documentan en el plan de seguridad. Los ordenadores de pagos son responsables de garantizar que se lleven a cabo todas
las actividades y funciones asociadas con la autorización de seguridad que se delegan en los representantes designados de los ordenadores de pagos. El papel de oficial autorizador tiene autoridad
inherente al gobierno de los EE. UU. y se asigna únicamente al personal del gobierno. oficiales de seguridad del sistema de información, evaluadores de control de seguridad y otras partes interesadas
durante el proceso de autorización de seguridad. Con la creciente complejidad de los procesos de misión/negocios, los acuerdos de asociación y el uso de servicios externos/compartidos, es posible que
un sistema de información particular pueda involucrar a varios funcionarios autorizadores. De ser así, se establecen acuerdos entre los ordenadores y se documentan en el plan de seguridad. Los
ordenadores de pagos son responsables de garantizar que se lleven a cabo todas las actividades y funciones asociadas con la autorización de seguridad que se delegan en los representantes designados
de los ordenadores de pagos. El papel de oficial autorizador tiene autoridad inherente al gobierno de los EE. UU. y se asigna únicamente al personal del gobierno. oficiales de seguridad del sistema de
información, evaluadores de control de seguridad y otras partes interesadas durante el proceso de autorización de seguridad. Con la creciente complejidad de los procesos de misión/negocios, los
acuerdos de asociación y el uso de servicios externos/compartidos, es posible que un sistema de información particular pueda involucrar a varios funcionarios autorizadores. De ser así, se establecen
acuerdos entre los ordenadores y se documentan en el plan de seguridad. Los ordenadores de pagos son responsables de garantizar que se lleven a cabo todas las actividades y funciones asociadas con
la autorización de seguridad que se delegan en los representantes designados de los ordenadores de pagos. El papel de oficial autorizador tiene autoridad inherente al gobierno de los EE. UU. y se
asigna únicamente al personal del gobierno. y otras partes interesadas durante el proceso de autorización de valores. Con la creciente complejidad de los procesos de misión/negocios, los acuerdos de
asociación y el uso de servicios externos/compartidos, es posible que un sistema de información particular pueda involucrar a varios funcionarios autorizadores. De ser así, se establecen acuerdos entre los ordenadores y se documentan en el plan d
71La responsabilidad de autorizar a los funcionarios descrita en FIPS 200 se amplió en la Publicación especial 800-53 del NIST para incluir los
riesgos para otras organizaciones y la Nación.

____________________________________________________________________________________________________________________
D.7 AUTORIZACIÓN DEL REPRESENTANTE OFICIAL DESIGNADO
Elrepresentante autorizado oficial designadoes un funcionario de la organización que

actúa en nombre de un funcionario autorizador para coordinar y realizar las
actividades diarias requeridas asociadas con el proceso de autorización de seguridad.
Los representantes designados oficiales autorizadores pueden estar autorizados por
los oficiales autorizados a tomar ciertas decisiones con respecto a la planificación y
dotación de recursos del proceso de autorización de seguridad, aprobación del plan de
seguridad, aprobación y seguimiento de la implementación de planes de acción e
hitos, y la evaluación y/o o determinación del riesgo. El representante designado
también puede ser llamado a preparar el paquete de autorización final, obtener la
firma del funcionario autorizador en el documento de decisión de autorización y
transmitir el paquete de autorización a los funcionarios de la organización
correspondiente.
D.8 PROVEEDOR DE CONTROL COMÚN
Elproveedor de control comúnes un individuo, grupo u organización responsable del desarrollo, implementación,
evaluación y monitoreo de controles comunes (es decir, controles de seguridad heredados por los sistemas de
información).72Los proveedores de controles comunes son responsables de: (i) documentar los controles comunes
identificados por la organización en unplan de seguridad(o documento equivalente prescrito por la organización);
(ii) asegurar que las evaluaciones requeridas de los controles comunes sean realizadas por evaluadores
calificados con un nivel apropiado de independencia definido por la organización; (iii) documentar los resultados
de la evaluación en uninforme de evaluación de la seguridad; y (iv) producir unplan de acción e hitospara todos
los controles que tengan debilidades o deficiencias. Los planes de seguridad, los informes de evaluación de la
seguridad y los planes de acción e hitos para los controles comunes (o un resumen de dicha información) se
ponen a disposición de los propietarios del sistema de información. heredandoesos controles después de que la
información sea revisada y aprobada por el alto funcionario o ejecutivo con responsabilidad de supervisión de
esos controles.
D.9 PROPIETARIO DEL SISTEMA DE INFORMACIÓN
Elpropietario del sistema de informaciónes un funcionario organizacional responsable de la adquisición,

desarrollo, integración, modificación, operación, mantenimiento y disposición de un sistema de información.73El
propietario del sistema de información es responsable de abordar los intereses operativos de la comunidad de
usuarios (es decir, las personas que dependen del sistema de información para satisfacer los requisitos operativos,
comerciales o de la misión) y de garantizar el cumplimiento de los requisitos de seguridad de la información. En
coordinación con el oficial de seguridad del sistema de información, el propietario del sistema de información es
responsable del desarrollo y mantenimiento del plan de seguridad y asegura que el sistema se implemente y
opere de acuerdo con los controles de seguridad acordados. En coordinación con el propietario/administrador de
la información, el propietario del sistema de información es
72Las organizaciones pueden tener varios proveedores de control comunes según cómo se asignen las responsabilidades de seguridad de la
información en toda la organización. Los proveedores de control comunes también pueden serdueños de sistemas de informacióncuando los controles
comunes residen dentro de un sistema de información.
73Elpropietario del sistema de informaciónsirve como punto focal para el sistema de información. En esa capacidad, el propietario del sistema de
información actúa tanto como propietario como punto central de contacto entre el proceso de autorización y los propietarios de los componentes del
sistema, incluidos, por ejemplo: (i) aplicaciones, redes, servidores o estaciones de trabajo; (ii) propietarios/administradores de la información
procesada, almacenada o transmitida por el sistema; y (iii) titulares de las misiones y funciones empresariales soportadas por el sistema. Algunas
organizaciones pueden referirse a los propietarios del sistema de información como administradores de programas o propietarios de negocios/activos.

____________________________________________________________________________________________________________________
también responsable de decidir quién tiene acceso al sistema (y con qué tipo de privilegios o derechos de acceso)74y
asegura que los usuarios del sistema y el personal de apoyo reciban la capacitación de seguridad requerida (por ejemplo,
instrucción en reglas de comportamiento). Con base en la orientación del funcionario que autoriza, el propietario del
sistema de información informa a los funcionarios de la organización correspondientes sobre la necesidad de realizar la
autorización de seguridad, se asegura de que los recursos necesarios estén disponibles para el esfuerzo y proporciona el
acceso al sistema de información, la información y la documentación requerida para el evaluador de control de
seguridad. El propietario del sistema de información recibe los resultados de la evaluación de seguridad del asesor de
control de seguridad. Después de tomar las medidas apropiadas para reducir o eliminar las vulnerabilidades, el
propietario del sistema de información ensambla el paquete de autorización y lo envía al funcionario autorizador o al
representante designado del funcionario autorizador para su adjudicación.75
D.10 OFICIAL DE SEGURIDAD DEL SISTEMA DE INFORMACIÓN
Eloficial de seguridad del sistema de información76es una persona responsable de garantizar que se mantenga la postura
de seguridad operativa adecuada para un sistema de información y, como tal, trabaja en estrecha colaboración con el
propietario del sistema de información. El oficial de seguridad del sistema de información también actúa como asesor
principal en todos los asuntos, técnicos y de otro tipo, relacionados con la seguridad de un sistema de información. El
oficial de seguridad del sistema de información tiene el conocimiento detallado y la experiencia necesarios para
administrar los aspectos de seguridad de un sistema de información y, en muchas organizaciones, se le asigna la
responsabilidad de las operaciones de seguridad diarias de un sistema. Esta responsabilidad también puede incluir, pero
no se limita a, protección física y ambiental, seguridad del personal, manejo de incidentes y capacitación y concientización
sobre seguridad. El oficial de seguridad del sistema de información puede ser llamado para ayudar en el desarrollo de
políticas y procedimientos de seguridad y para garantizar el cumplimiento de esas políticas y procedimientos. En estrecha
coordinación con el propietario del sistema de información, el oficial de seguridad del sistema de información a menudo
desempeña un papel activo en el monitoreo de un sistema y su entorno de operación para incluir el desarrollo y la
actualización del plan de seguridad, la gestión y el control de cambios en el sistema y la evaluación de la impacto en la
seguridad de esos cambios.
D.11 ARQUITECTO DE SEGURIDAD DE LA INFORMACIÓN
Elarquitecto de seguridad de la informaciónes un individuo, grupo u organización responsable de garantizar que

los requisitos de seguridad de la información necesarios para proteger las misiones organizacionales / funciones
comerciales se aborden adecuadamente en todos los aspectos de la arquitectura empresarial, incluidos los
modelos de referencia, las arquitecturas de soluciones y segmentos, y los sistemas de información resultantes que
respaldan esos misiones y procesos de negocio. El arquitecto de seguridad de la información sirve como enlace
entre el arquitecto de la empresa y el ingeniero de seguridad del sistema de información y también coordina con
los propietarios del sistema de información, los proveedores de control común y los oficiales de seguridad del
sistema de información en la asignación de controles de seguridad como específicos del sistema, híbridos o
comunes. control S. Además, los arquitectos de seguridad de la información, en estrecha coordinación con los
oficiales de seguridad del sistema de información,
74La responsabilidad de decidir quién tiene acceso a información específica dentro de un sistema de información (y con qué tipos de
privilegios o derechos de acceso) puede residir en el propietario/administrador de la información.
75Dependiendo de cómo la organización haya organizado sus actividades de autorización de seguridad, el funcionario autorizador puede
optar por designar a una persona que no sea el propietario del sistema de información para compilar y ensamblar la información para el
paquete de autorización de seguridad. En esta situación, la persona designada debe coordinar las actividades de compilación y montaje con
el propietario del sistema de información.
76Las organizaciones también pueden definir ungerente de seguridad del sistema de informaciónogerente de seguridad de la informaciónrol con
responsabilidades similares a las de un oficial de seguridad del sistema de información o con responsabilidades de supervisión para un programa de seguridad de
la información. En estas situaciones, los oficiales de seguridad del sistema de información pueden, a discreción de la organización, informar directamente a los
gerentes de seguridad del sistema de información o gerentes de seguridad de la información.

____________________________________________________________________________________________________________________
los altos funcionarios de seguridad de la información y el ejecutivo de riesgos (función), en una variedad de temas
relacionados con la seguridad que incluyen, por ejemplo, establecer los límites del sistema de información, evaluar la
gravedad de las debilidades y deficiencias en el sistema de información, planes de acción e hitos, enfoques de mitigación
de riesgos , alertas de seguridad y posibles efectos adversos de las vulnerabilidades.
D.12 INGENIERO DE SEGURIDAD DE SISTEMAS DE INFORMACIÓN
Elingeniero de seguridad de sistemas de informaciones un individuo, grupo u organización responsable de realizar actividades de
ingeniería de seguridad de sistemas de información. La ingeniería de seguridad del sistema de información es un proceso que
captura y refina los requisitos de seguridad de la información y garantiza que los requisitos se integren de manera efectiva en los
productos de componentes de tecnología de la información y los sistemas de información a través de una arquitectura, diseño,
desarrollo y configuración de seguridad con un propósito. Los ingenieros de seguridad de sistemas de información son una parte
integral del equipo de desarrollo (p. ej., equipo de proyecto integrado) que diseña y desarrolla sistemas de información
organizacionales o actualiza sistemas heredados. Los ingenieros de seguridad del sistema de información emplean las mejores
prácticas al implementar controles de seguridad dentro de un sistema de información, incluidas las metodologías de ingeniería de
software, principios de ingeniería de sistemas/seguridad, diseño seguro, arquitectura segura y técnicas de codificación seguras.
Los ingenieros de seguridad de sistemas coordinan sus actividades relacionadas con la seguridad con los arquitectos de seguridad
de la información, los oficiales superiores de seguridad de la información, los propietarios de los sistemas de información, los
proveedores de control común y los oficiales de seguridad de los sistemas de información.
D.13 EVALUADOR DE CONTROL DE SEGURIDAD
Elevaluador de control de seguridades un individuo, grupo u organización responsable de realizar una evaluación
integral de los controles de seguridad de gestión, operativos y técnicos empleados dentro o heredados por un
sistema de información para determinar la efectividad general de los controles (es decir, la medida en que los
controles son implementado correctamente, operando según lo previsto y produciendo el resultado deseado con
respecto al cumplimiento de los requisitos de seguridad para el sistema). Los asesores de control de seguridad
también brindan una evaluación de la gravedad de las debilidades o deficiencias descubiertas en el sistema de
información y su entorno de operación y recomiendan acciones correctivas para abordar las vulnerabilidades
identificadas. Además de las responsabilidades anteriores, los evaluadores de control de seguridad preparan el
informe final de evaluación de seguridad que contiene los resultados y hallazgos de la evaluación. Antes de iniciar
la evaluación del control de seguridad, un asesor realiza una evaluación del plan de seguridad para ayudar a
garantizar que el plan proporcione un conjunto de controles de seguridad para el sistema de información que
cumpla con los requisitos de seguridad establecidos.
El nivel requerido de independencia del evaluador está determinado por las condiciones específicas de la
evaluación del control de seguridad. Por ejemplo, cuando la evaluación se lleva a cabo en apoyo de una decisión
de autorización o una autorización en curso, el funcionario que autoriza hace una determinación explícita del
grado de independencia requerido de acuerdo con las políticas, directivas, normas y lineamientos federales. La
independencia del evaluador es un factor importante para: (i) preservar la naturaleza imparcial e imparcial del
proceso de evaluación; (ii) determinar la credibilidad de los resultados de la evaluación de la seguridad; y (iii)
garantizar que el oficial autorizador reciba la información más objetiva posible para tomar una decisión de
autorización informada y basada en el riesgo. El propietario del sistema de información y el proveedor de control
común confían en la experiencia en seguridad y el juicio técnico del evaluador para: (i) evaluar los controles de
seguridad empleados dentro y heredados por el sistema de información utilizando los procedimientos de
evaluación especificados en el plan de evaluación de seguridad; y (ii) proporcionar recomendaciones específicas
sobre cómo corregir las debilidades o deficiencias en los controles y abordar las vulnerabilidades identificadas.

____________________________________________________________________________________________________________________
APÉNDICE E
TAREAS DEL PROCESO DE GESTIÓN DE RIESGOS

RESUMEN DE TAREAS POR PASOS EN EL PROCESO DE GESTIÓN DE RIESGOS
TAREA DESCRIPCIÓN DE LA TAREA
Paso 1: Marco de riesgo
TAREA 1-1 Identifique los supuestos que afectan la forma en que se evalúa, responde y supervisa el riesgo dentro
SUPUESTOS DE RIESGO de la organización.
TAREA 1-2 Identificar las restricciones en la realización de actividades de evaluación de riesgos, respuesta a riesgos y
RESTRICCIONES DE RIESGO monitoreo de riesgos dentro de la organización.
TAREA 1-3 Identificar el nivel de tolerancia al riesgo de la organización.

TOLERANCIA AL RIESGO
TAREA 1-4 Identificar las prioridades y las ventajas y desventajas consideradas por la organización en la gestión del riesgo.
PRIORIDADES Y COMPENSACIONES
Paso 2: Evaluación de riesgos
TAREA 2-1 Identificar amenazas y vulnerabilidades en los sistemas de información de la organización y los
IDENTIFICACIÓN DE AMENAZAS Y entornos en los que operan los sistemas.
VULNERABILIDADES
TAREA 2-2 Determinar el riesgo para las operaciones y los activos de la organización, las personas, otras
DETERMINACIÓN DE RIESGO organizaciones y la Nación si las amenazas identificadas explotan las vulnerabilidades identificadas.
Paso 3: Respuesta al riesgo
TAREA 3-1 Identificar cursos de acción alternativos para responder al riesgo determinado durante la evaluación
IDENTIFICACIÓN DE LA RESPUESTA AL RIESGO de riesgos.
TAREA 3-2 Evaluar cursos de acción alternativos para responder al riesgo.

EVALUACIÓN DE ALTERNATIVAS
TAREA 3-3 Decidir el curso de acción apropiado para responder al riesgo.

DECISIÓN DE RESPUESTA AL RIESGO
TAREA 3-4 Implementar el curso de acción seleccionado para responder al riesgo.

IMPLEMENTACIÓN DE LA RESPUESTA AL RIESGO
Paso 4: Monitoreo de riesgos
TAREA 4-1 Desarrollar una estrategia de monitoreo de riesgos para la organización que incluya el propósito, el tipo y la
ESTRATEGIA DE SEGUIMIENTO DE RIESGOS frecuencia de las actividades de monitoreo.
TAREA 4-2 Supervisar los sistemas de información de la organización y los entornos de operación de forma
SEGUIMIENTO DE RIESGOS continua para verificar el cumplimiento, determinar la eficacia de las medidas de respuesta al riesgo e
identificar cambios.
APÉNDICE E PÁGINA E-1

____________________________________________________________________________________________________________________
APÉNDICE F
MODELOS DE GOBERNANZA
ENFOQUES PARA LA GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN
T Se pueden utilizar tres enfoques de la gobernanza de la seguridad de la información para satisfacer las
necesidades de la organización: (i) uncentralizadoAcercarse; (ii) undescentralizadoAcercarse; o (iii) unhíbrido
Acercarse. La autoridad, la responsabilidad y el poder de toma de decisiones relacionados con la seguridad de la
información y la gestión de riesgos difieren en cada enfoque de gobierno. La estructura de gobierno adecuada para una
organización varía en función de muchos factores (p. ej., misión/necesidades comerciales, cultura y tamaño de la
organización, distribución geográfica de las operaciones, activos e individuos de la organización, y tolerancia al riesgo). La
estructura de gobierno de seguridad de la información está alineada con otras estructuras de gobierno (p. ej., gobierno de
tecnología de la información) para garantizar la compatibilidad con las prácticas de gestión establecidas dentro de la
organización y aumentar su eficacia general.
Gobernanza centralizada
En las estructuras de gobierno centralizadas, la autoridad, la responsabilidad y el poder de toma de decisiones

residen únicamente en los órganos centrales. Estos órganos centralizados establecen las políticas, los
procedimientos y los procesos apropiados para garantizar la participación de toda la organización en el desarrollo
y la implementación de estrategias de gestión de riesgos y seguridad de la información, decisiones sobre riesgos y
seguridad de la información, y la creación de comunicaciones interorganizacionales e intraorganizacionales.
mecanismos. . Un enfoque centralizado de la gobernanza requiere un liderazgo central fuerte y bien informado y
proporciona coherencia en toda la organización. Las estructuras de gobierno centralizadas también brindan
menos autonomía a las organizaciones subordinadas que forman parte de la organización matriz.
Gobernanza descentralizada
En las estructuras de gobernanza de seguridad de la información descentralizadas, la autoridad, la responsabilidad y el poder de toma de decisiones se otorgan y se delegan en organizaciones
subordinadas individuales dentro de la organización matriz (p. ej., oficinas/componentes dentro de un departamento ejecutivo del gobierno federal o unidades comerciales dentro de una corporación ).
Las organizaciones subordinadas establecen sus propias políticas, procedimientos y procesos para garantizar la participación de toda la (sub) organización en el desarrollo y la implementación de
estrategias de gestión de riesgos y seguridad de la información, decisiones sobre riesgos y seguridad de la información, y la creación de mecanismos para comunicarse dentro de la organización. Un
enfoque descentralizado para el gobierno de la seguridad de la información se adapta a las organizaciones subordinadas con misiones/necesidades comerciales y entornos operativos divergentes a costa
de la coherencia en toda la organización como un todo. La eficacia de este enfoque aumenta considerablemente al compartir información relacionada con el riesgo entre organizaciones subordinadas, de
modo que ninguna organización subordinada pueda transferir el riesgo a otra sin el consentimiento informado de esta última. También es importante compartir información relacionada con el riesgo con
las organizaciones matrices, ya que las decisiones de riesgo de las organizaciones subordinadas pueden tener un efecto en la organización en su conjunto. La eficacia de este enfoque aumenta
considerablemente al compartir información relacionada con el riesgo entre organizaciones subordinadas, de modo que ninguna organización subordinada pueda transferir el riesgo a otra sin el
consentimiento informado de esta última. También es importante compartir información relacionada con el riesgo con las organizaciones matrices, ya que las decisiones de riesgo de las organizaciones
subordinadas pueden tener un efecto en la organización en su conjunto. La eficacia de este enfoque aumenta considerablemente al compartir información relacionada con el riesgo entre organizaciones
subordinadas, de modo que ninguna organización subordinada pueda transferir el riesgo a otra sin el consentimiento informado de esta última. También es importante compartir información relacionada
con el riesgo con las organizaciones matrices, ya que las decisiones de riesgo de las organizaciones subordinadas pueden tener un efecto en la organización en su conjunto.
Gobernanza híbrida
En las estructuras híbridas de gobierno de la seguridad de la información, la autoridad, la responsabilidad y el poder de

toma de decisiones se distribuyen entre un organismo central y organizaciones subordinadas individuales. El organismo
central establece las políticas, los procedimientos y los procesos para garantizar la participación de toda la organización
en la parte de las estrategias y decisiones de gestión de riesgos y seguridad de la información que afectan a toda la
organización (p. ej., decisiones relacionadas con infraestructura compartida o
APÉNDICE F PÁGINA F-1

____________________________________________________________________________________________________________________
servicios comunes de seguridad). Las organizaciones subordinadas, de manera similar, establecen políticas,
procedimientos y procesos adecuados para garantizar su participación en la parte de las estrategias y decisiones
de gestión de riesgos y seguridad de la información que son específicas de su misión/necesidades comerciales y
entornos de operación. Un enfoque híbrido de la gobernanza requiere un liderazgo sólido y bien informado para la
organización en su conjunto y para las organizaciones subordinadas, y proporciona coherencia en toda la
organización para aquellos aspectos del riesgo y la seguridad de la información que afectan a toda la organización.
APÉNDICE F PÁGINA F-2

____________________________________________________________________________________________________________________
APÉNDICE G
MODELOS DE CONFIANZA
ENFOQUES PARA ESTABLECER RELACIONES DE CONFIANZA
T Los siguientes modelos de confianza describen formas en que las organizaciones pueden obtener los niveles de
confianza necesarios para formar asociaciones, colaborar con otras organizaciones, compartir información o
recibir sistemas de información/servicios de seguridad. Ningún modelo de confianza único es intrínsecamente
mejor que cualquier otro modelo. Más bien, cada modelo brinda a las organizaciones ciertas ventajas y desventajas en
función de sus circunstancias (p. ej., estructura de gobierno, tolerancia al riesgo y criticidad/sensibilidad de las misiones
organizacionales y los procesos comerciales).
Confianza validada
En elmodelo de confianza validado, una organización obtiene un cuerpo de evidencia con respecto a las acciones de otra
organización (por ejemplo, las políticas, actividades y decisiones relacionadas con el riesgo de seguridad de la información
de la organización) y utiliza esa evidencia para establecer un nivel de confianza con la otra organización. Un ejemplo de
confianza validada es cuando una organización desarrolla una aplicación o sistema de información y proporciona evidencia
(p. ej., plan de seguridad, resultados de evaluación) a una segunda organización que respalda las afirmaciones de la
primera organización de que la aplicación/sistema cumple con ciertos requisitos de seguridad y/o o aborda los controles
de seguridad apropiados en la publicación especial NIST 800-53. La confianza validada puede no ser suficiente, es decir, es
posible que la evidencia ofrecida por la primera organización a la segunda organización no satisfaga completamente los
requisitos de confianza o las expectativas de confianza de la segunda organización. Cuanta más evidencia se proporcione
entre las organizaciones, así como la calidad de dicha evidencia, mayor será el grado de confianza que se puede lograr. La
confianza está ligada al grado de transparencia entre las dos organizaciones con respecto a las actividades y decisiones
relacionadas con el riesgo y la seguridad de la información.
Fideicomiso histórico directo
En elmodelo de confianza histórico directo, el historial exhibido por una organización en el pasado, particularmente en sus
actividades y decisiones relacionadas con el riesgo y la seguridad de la información, puede contribuir y ayudar a establecer
un nivel de confianza con otras organizaciones. Si bien los modelos de confianza validados asumen que una organización
proporciona el nivel de evidencia necesario para establecer la confianza, es posible que no siempre sea posible obtener
dicha evidencia. En tales casos, la confianza puede basarse en otros factores decisivos, incluida la relación histórica de la
organización con la otra organización o su experiencia reciente en el trabajo con la otra organización. Por ejemplo, si una
organización ha trabajado con una segunda organización durante años realizando alguna actividad y no ha tenido
ninguna experiencia negativa, la primera organización puede estar dispuesta a confiar en la segunda organización para
trabajar en otra actividad. aunque las organizaciones no comparten ninguna experiencia común para esa actividad en
particular. La confianza histórica directa tiende a acumularse con el tiempo y las experiencias más positivas contribuyen a
aumentar los niveles de confianza entre las organizaciones. Por el contrario, las experiencias negativas pueden hacer que
disminuyan los niveles de confianza entre las organizaciones.
Confianza mediada
En elmodelo de confianza mediada, una organización establece un nivel de confianza con otra organización sobre
la base de garantías proporcionadas por algún tercero de confianza mutua. Hay varios tipos de modelos de
confianza mediada que se pueden emplear. Por ejemplo, dos organizaciones que intentan establecer una relación
de confianza pueden no tener un historial de confianza directo entre las dos organizaciones, pero sí tener una
relación de confianza con una tercera organización. El tercero en el que ambos confían
APÉNDICE G PÁGINA G-1

____________________________________________________________________________________________________________________
organizaciones, negocia la relación de confianza entre las dos organizaciones, ayudando así a establecer el nivel
de confianza requerido. Otro tipo de confianza mediada involucra el concepto de transitividad de la confianza. En
este ejemplo, una organización establece una relación de confianza con una segunda organización.
Independientemente de la primera relación de confianza, la segunda organización establece una relación de
confianza con una tercera organización. Dado que la primera organización confía en la segunda organización y la
segunda organización confía en la tercera organización, ahora se establece una relación de confianza entre la
primera y la tercera organizaciones (que ilustra el concepto de confianza transitiva entre organizaciones).77
Fideicomiso obligatorio
En elmodelo de confianza obligatorio, una organización establece un nivel de confianza con otra organización en
base a un mandato específico emitido por un tercero en una posición de autoridad.78Este mandato puede ser
establecido por la autoridad respectiva a través de órdenes ejecutivas, directivas, reglamentos o políticas (p. ej., un
memorando del jefe de una agencia que indique que todas las organizaciones subordinadas acepten los
resultados de las evaluaciones de seguridad realizadas por cualquier organización subordinada dentro de la
agencia). El fideicomiso obligatorio también se puede establecer cuando se decreta que alguna entidad
organizativa sea la fuente autorizada para la provisión de recursos de información, incluidos productos, sistemas o
servicios de tecnología de la información. Por ejemplo, a una organización se le puede dar la responsabilidad y la
autoridad para emitir certificados de infraestructura de clave pública (PKI) para un grupo de organizaciones.
Confianza híbrida
En general, los modelos de confianza descritos anteriormente no son mutuamente excluyentes. Cada uno de los modelos
de confianza se puede utilizar de forma independiente como modelo independiente o junto con otro modelo. Varios
modelos de confianza se pueden utilizar a veces dentro de la organización (por ejemplo, en varias fases en el ciclo de vida
de desarrollo del sistema). Además, dado que las organizaciones suelen ser grandes y diversas, es posible que las
organizaciones subordinadas dentro de una organización matriz puedan emplear de forma independiente diferentes
modelos de confianza para establecer relaciones de confianza con organizaciones asociadas potenciales (incluidas las
organizaciones subordinadas). La estructura de gobierno de la organización puede establecer los términos y condiciones
específicos de cómo los diversos modelos de confianza se emplean de manera complementaria dentro de la organización.
Idoneidad de varios modelos de confianza
Los modelos de confianza se pueden emplear en varios niveles en el enfoque de gestión de riesgos
descrito en esta publicación. Ninguno de los modelos de confianza es inherentemente mejor o peor
que los demás. Sin embargo, algunos modelos pueden adaptarse mejor a algunas situaciones que a
otras. Por ejemplo, el modelo de confianza validado, debido a que requiere evidencia de naturaleza
técnica (p. ej., pruebas completadas con éxito), es probablemente el más adecuado para la aplicación
en el Nivel 3. En contraste, el modelo de confianza histórico directo, con un énfasis significativo en
experiencias pasadas , es más adecuado para la aplicación en los Niveles 1 o 2. Los modelos de
confianza mediada y obligatoria suelen estar más orientados hacia la gobernanza y, en consecuencia,
son los más adecuados para la aplicación en el Nivel 1. Sin embargo, algunas implementaciones del
modelo de confianza obligatoria, por ejemplo, se requieren para confiar en la fuente de un certificado
PKI,
77En el modelo de confianza mediada, la primera organización normalmente no tiene idea de la naturaleza de la relación de confianza
entre la segunda y la tercera organización.
78La organización autorizada acepta explícitamente los riesgos en los que deben incurrir todas las organizaciones cubiertas por el mandato y es
responsable de las decisiones relacionadas con los riesgos impuestas por la organización.

____________________________________________________________________________________________________________________
orientado Un ejemplo de esta aplicación podría ser el uso de servicios de autenticación que validen la
autenticidad o identidad de un componente o servicio del sistema de información.
La naturaleza de un servicio de tecnología de la información en particular también puede afectar la idoneidad y la

aplicabilidad de los diversos modelos de confianza. El modelo de confianza validado es el modelo más tradicional
para validar la confianza de un producto, sistema o servicio de tecnología de la información. Sin embargo, este
modelo de confianza funciona mejor en situaciones donde existe un grado de control entre las partes (por
ejemplo, un contrato entre el gobierno y un proveedor de servicios externo) o donde hay suficiente tiempo para
obtener y validar la evidencia necesaria para establecer una relación de confianza. . La confianza validada es un
modelo subóptimo para situaciones en las que las dos partes son pares y/o en las que las decisiones de confianza
con respecto a los servicios compartidos/suministrados deben ocurrir rápidamente debido a la naturaleza muy
dinámica y rápida del servicio que se solicita/proporciona (por ejemplo,

____________________________________________________________________________________________________________________
APÉNDICE H
ESTRATEGIAS DE RESPUESTA AL RIESGO

DE PROTECCIÓN DE LÍMITES A DEFENSAS ÁGILES
O las organizaciones se desarrollanestrategias de gestión de riesgoscomo parte del paso de encuadre de riesgo
en el proceso de gestión de riesgo descrito en el Capítulo Tres. Las estrategias de gestión de riesgos abordan
cómo las organizaciones pretenden evaluar el riesgo, responder al riesgo y monitorear la toma de riesgos de
manera explícita y transparente las percepciones de riesgo que las organizaciones usan de manera rutinaria para tomar
decisiones tanto de inversión como operativas. Como parte de las estrategias de gestión de riesgos organizacionales, las
organizaciones también desarrollanestrategias de respuesta al riesgo. Las realidades prácticas que enfrentan las
organizaciones hoy en día hacen que las estrategias de respuesta a los riesgos sean esenciales: las realidades de necesitar
la eficacia de la misión/negocio que ofrece la tecnología de la información, la falta de confiabilidad en las tecnologías
disponibles y la creciente conciencia de los adversarios del potencial para lograr sus objetivos para causar daño al
comprometer los sistemas de información de la organización y los entornos en los que operan esos sistemas. Los líderes/
ejecutivos sénior en las organizaciones modernas se enfrentan a un dilema casi irresoluble: es decir, las tecnologías de la
información necesarias para el éxito de la misión/negocio pueden ser las mismas tecnologías a través de las cuales los
adversarios provocan el fracaso de la misión/negocio. Las estrategias de respuesta al riesgo desarrolladas e
implementadas por las organizaciones brindan a estos líderes / ejecutivos senior (es decir, tomadores de decisiones
dentro de las organizaciones) con caminos prácticos y pragmáticos para enfrentar este dilema. Las estrategias de
respuesta a los riesgos claramente definidas y articuladas ayudan a garantizar que los líderes/ejecutivos sénior se
apropien de las respuestas a los riesgos de la organización y, en última instancia, sean responsableyexplicablepara
decisiones de riesgo: comprensión, reconocimiento y aceptación explícita de la misión / riesgo comercial resultante.
Como se describe en el Capítulo Dos, existen cinco tipos básicos de respuestas al riesgo: (i) aceptar; (ii) evitar; (iii)
mitigar; (iv) compartir; y (v) transferencia.79Si bien cada tipo de respuesta puede tener una estrategia asociada,
debe haber una estrategia general para seleccionar entre los tipos de respuesta básicos. Esta estrategia general
de respuesta al riesgo y una estrategia para cada tipo de respuesta se analizan a continuación. Además, específico
estrategias de mitigación de riesgosse presentan, incluida una descripción de cómo se pueden implementar tales
estrategias dentro de las organizaciones.
H.1 ESTRATEGIAS DE RESPUESTA AL RIESGO EN TODAS PARTES
Las estrategias de respuesta al riesgo especifican: (i) individuos o subcomponentes organizacionales que son responsables de las
medidas de respuesta al riesgo seleccionadas y especificaciones de criterios de efectividad (es decir, articulación de indicadores y
umbrales contra los cuales se puede juzgar la efectividad de las medidas de respuesta al riesgo); (ii) dependencias de las medidas
de respuesta al riesgo seleccionadas en otras medidas de respuesta al riesgo; (iii) las dependencias de las medidas de respuesta al
riesgo seleccionadas de otros factores (por ejemplo, la implementación de otras medidas de tecnología de la información
planificadas); (iv) cronograma de implementación de las respuestas a los riesgos; (v) planes para monitorear la efectividad de las
medidas de respuesta al riesgo; (vi) identificación de disparadores de monitoreo de riesgos; y (vii) medidas provisionales de
respuesta al riesgo seleccionadas para su implementación, si corresponde. Las estrategias de implementación de la respuesta al
riesgo pueden incluir medidas provisionales que las organizaciones decidan implementar. Una estrategia general de respuesta al
riesgo proporciona un enfoque organizacional para seleccionar entre las respuestas básicas al riesgo para una situación de riesgo
determinada. una decisión deaceptarel riesgo debe ser consistente con la tolerancia organizacional establecida para el riesgo. Aún
79Existe una superposición entre las respuestas básicas al riesgo. Por ejemplo, un riesgo compartido es aquel que está siendo aceptado por
cada parte en el acuerdo de participación, y se puede considerar que evitar el riesgo es mitigar el riesgo a cero. No obstante, con esta
comprensión de la superposición, es valioso abordar cada uno de los cinco tipos de respuestas al riesgo por separado.
APÉNDICE H PÁGINA H-1

____________________________________________________________________________________________________________________
todavía es necesario un camino organizacional bien definido y establecido para seleccionar una o una combinación de las
respuestas de riesgo de aceptación, evitación, mitigación, intercambio o transferencia. Las organizaciones a menudo se
encuentran en situaciones en las que existe un riesgo mayor que el que los líderes/ejecutivos senior designados desean
aceptar. Es probable que sea necesaria cierta aceptación del riesgo. Podría ser posible evitar el riesgo o compartir o
transferir el riesgo, y probablemente sea factible mitigar el riesgo. Evitar el riesgo puede requerir una reingeniería
selectiva de la misión/procesos comerciales de la organización y renunciar a algunos de los beneficios que se acumulan
con el uso de la tecnología de la información en toda la organización, tal vez incluso lo que las organizaciones perciben
comonecesariobeneficios Mitigar el riesgo requiere el gasto de recursos limitados y puede volverse rápidamente ineficaz
en función de los costos debido a las realidades pragmáticas del grado de mitigación que realmente se puede lograr. Por
último, compartir y transferir riesgos también tiene ramificaciones, algunas de las cuales, si no son inaceptables, pueden
ser indeseables. Las estrategias de respuesta al riesgo de las organizaciones facultan a los líderes/ejecutivos senior para
que tomen decisiones basadas en el riesgo que cumplan con las metas, los objetivos y las perspectivas organizacionales
más amplias.
H.2 ESTRATEGIAS DE ACEPTACIÓN DEL RIESGO
Organizativoestrategias de aceptacion de riesgosson compañeros esenciales de las

declaraciones organizacionales de tolerancia al riesgo. El objetivo de establecer una
tolerancia al riesgo organizacional es establecer en términos claros e inequívocos, un
límite para el riesgo, es decir, hasta dónde están dispuestas a llegar las organizaciones
con respecto a la aceptación del riesgo para las operaciones organizacionales
(incluyendo misiones, funciones, imagen y reputación). ), bienes organizacionales,
individuos, otras organizaciones y la Nación. Sin embargo, las operaciones del mundo
real rara vez son tan simples como para hacer que tales declaraciones de tolerancia al
riesgo sean la declaración final para las decisiones de aceptación del riesgo.
H.3 ESTRATEGIAS DE EVASIÓN DE RIESGOS
De todas las estrategias de respuesta al riesgo, las organizacionalesestrategias de evitación de riesgospuede ser la clave para
lograr una respuesta adecuada al riesgo. Las realidades pragmáticas de la confiabilidad de las tecnologías de la información
disponibles para su uso dentro de las limitaciones de recursos comunes, hacen que el uso inteligente de esas tecnologías
posiblemente sea un factor significativo, si noelrespuesta de riesgo más significativa. El uso inteligente de las tecnologías de la
información que componen los sistemas de información de la organización es fundamentalmente una forma de evitar el riesgo, es
decir, las organizaciones modifican la forma en que se utilizan las tecnologías de la información para cambiar la naturaleza del
riesgo en el que se incurre (es decir, evitar el riesgo). Sin embargo, tales enfoques pueden estar en gran tensión con los deseos de
la organización y, en algunos casos, con el mandato de automatizar completamente la misión/los procesos comerciales. Las
organizaciones abordan este dilema de manera proactiva para que: (i) los líderes/ejecutivos senior (y otros funcionarios de la
organización que toman decisiones basadas en el riesgo) rindan cuentas solo por lo que está dentro de su capacidad de afectar; y
(ii) los tomadores de decisiones pueden tomar las decisiones de riesgo difíciles que, de hecho, pueden ser en el mejor interés de
las organizaciones.
H.4 ESTRATEGIAS DE TRANSFERENCIA Y COMPARTICIÓN DEL RIESGO
Organizativoestrategias de riesgo compartidoyestrategias de transferencia de riesgosson elementos clave para permitir

decisiones de riesgo para misiones organizacionales / funciones comerciales específicas en el Nivel 2 o sistemas de
información organizacional en el Nivel 3. Las estrategias de transferencia y distribución de riesgos consideran y
aprovechan al máximo una disminución del riesgo al compartir / transferir el impacto potencial entre otros. elementos
organizacionales internos o con otras organizaciones externas, argumentando que algunas otras entidades son, de
hecho, totalmente (transferidas) o parcialmente (compartidas) responsables y responsables del riesgo. Para que el
riesgo compartido o la transferencia de riesgos sean respuestas efectivas al riesgo, el impacto en el entorno local (p. ej.,
misión/procesos comerciales o sistemas de información) debe abordarse mediante el intercambio o

____________________________________________________________________________________________________________________
transferencia (es decir, el enfoque debe estar en la misión/éxito comercial, no en la asignación de culpas). Además, las actividades
de distribución y transferencia de riesgos deben llevarse a cabo de acuerdo con las dinámicas y realidades intra e
interorganizacionales (p. ej., cultura organizacional, gobierno, tolerancia al riesgo). Esto explica por qué las estrategias de
distribución/transferencia de riesgos son particularmente importantes para que la distribución y/o la transferencia sean una
opción viable de respuesta al riesgo.
H.5 ESTRATEGIAS DE MITIGACIÓN DE RIESGOS
Organizativoestrategias de mitigación de riesgosreflejan una perspectiva organizacional sobre qué mitigaciones se

emplearán y dónde se aplicarán las mitigaciones, para reducir los riesgos de seguridad de la información para las
operaciones y los activos de la organización, las personas, otras organizaciones y la Nación. Las estrategias de mitigación
de riesgos son el vínculo principal entre los programas de gestión de riesgos organizacionales y los programas de
seguridad de la información; los primeros cubren todos los aspectos de la gestión de riesgos y los segundos son
principalmente una parte del componente de respuesta al riesgo del proceso de gestión de riesgos. Eficazestrategias de
mitigación de riesgosconsiderar la colocación y asignación general de las mitigaciones, el grado de mitigación previsto y
cubrir las mitigaciones en el Nivel 1 (p. ej., controles comunes), en el Nivel 2 (p. ej., arquitectura empresarial, incluida la
arquitectura de seguridad de la información integrada y misión/procesos comerciales conscientes del riesgo), y en el Tier 3
(controles de seguridad en los sistemas de información individuales). Las estrategias de mitigación de riesgos
organizacionales reflejan lo siguiente:
• Los procesos de misión/negocios están diseñados con respecto a las necesidades de protección de la información y los
requisitos de seguridad de la información;80
• Las arquitecturas empresariales (incluidas las arquitecturas de seguridad de la información integradas) están diseñadas teniendo en
cuenta las mitigaciones de riesgos que se pueden lograr de manera realista;
• Las medidas de mitigación de riesgos se implementan dentro de los sistemas de información de la organización y los
entornos de operación mediante salvaguardas/contramedidas (es decir, controles de seguridad) consistentes con las
arquitecturas de seguridad de la información; y
• Los programas, procesos y salvaguardas/contramedidas de seguridad de la información son altamente

flexible yágilcon respecto a la implementación, reconociendo la diversidad en las misiones organizacionales y
las funciones comerciales y los entornos dinámicos en los que operan las organizaciones.81
Las organizaciones desarrollan estrategias de mitigación de riesgos basadas en metas y objetivos estratégicos, la misión y
los requisitos comerciales, y las prioridades de la organización. Las estrategias proporcionan la base para tomar
decisiones basadas en el riesgo sobre las soluciones de seguridad de la información asociadas y aplicadas a los sistemas
de información dentro de la organización. Las estrategias de mitigación de riesgos son necesarias para garantizar que las
organizaciones estén adecuadamente protegidas contra las crecientes amenazas a la información procesada, almacenada
y transmitida por los sistemas de información de la organización. La naturaleza de las amenazas y los entornos dinámicos
en los que operan las organizaciones exigen defensas flexibles y escalables, así como soluciones que se puedan adaptar
para satisfacer las condiciones que cambian rápidamente. Estas condiciones incluyen, por ejemplo, la aparición de nuevas
amenazas y vulnerabilidades, el desarrollo de nuevas tecnologías, cambios en las misiones/requerimientos del negocio, y/
o cambios en los ambientes de operación. Las estrategias efectivas de mitigación de riesgos respaldan las metas y
objetivos de las organizaciones y la misión/prioridades comerciales establecidas, están estrechamente vinculadas a las
arquitecturas empresariales y las arquitecturas de seguridad de la información, y pueden operar durante todo el ciclo de
vida del desarrollo del sistema.
80Además de las necesidades de protección de la información impulsadas por la misión o el negocio, los requisitos de seguridad de la información se
obtienen de una variedad de fuentes (p. ej., legislación federal, políticas, directivas, reglamentos y normas).
81Los entornos dinámicos de operación se caracterizan, por ejemplo, por cambios continuos en personas, procesos,
tecnologías, infraestructura física y amenazas.

____________________________________________________________________________________________________________________
Las estrategias tradicionales de mitigación de riesgos con respecto a las amenazas de ciberataques al principio se basaron
casi exclusivamente en monolíticos.protección de límites. Estas estrategias asumieron que los adversarios estaban fuera
de algún perímetro defensivo establecido, y el objetivo de las organizaciones era repeler el ataque. El enfoque principal de
la protección de límites estáticos era la resistencia a la penetración de los productos de tecnología de la información y los
sistemas de información empleados por la organización, así como cualquier protección adicional y contramedidas
implementadas en los entornos en los que operaban los productos y sistemas. El reconocimiento de que los límites del
sistema de información eran permeables o porosos condujo a una defensa en profundidad como parte de la estrategia de
mitigación, basándose en mecanismos de detección y respuesta para abordar las amenazas dentro del perímetro de
protección. En el mundo actual caracterizado poramenazas persistentes avanzadas,82se necesita una estrategia de
mitigación de riesgos más integral, una estrategia que combine la protección de límites tradicional condefensa ágil.
La defensa ágil asume que un pequeño porcentaje de las amenazas de los ataques cibernéticos intencionales tendrán
éxito al comprometer los sistemas de información de la organización a lo largo de la cadena de suministro.83derrotando
las salvaguardas y contramedidas iniciales (es decir, controles de seguridad) implementadas por las organizaciones, o
explotando vulnerabilidades previamente no identificadas para las cuales no existen protecciones. En este escenario, los
adversarios operan dentro de los perímetros defensivos establecidos por las organizaciones y pueden tener un control
sustancial o completo de los sistemas de información de la organización. La defensa ágil emplea el concepto deresiliencia
del sistema de información—Es decir, la capacidad de los sistemas para operar mientras están bajo ataque, incluso en un
estado degradado o debilitado, y para recuperar rápidamente las capacidades operativas para funciones esenciales
después de un ataque exitoso. El concepto de resiliencia del sistema de información también se puede aplicar a otras
clases de amenazas, incluidas las amenazas de perturbaciones ambientales y/o errores humanos de omisión/comisión.
Las estrategias de mitigación de riesgos más efectivas emplean una combinación de protección de límites y defensas
ágiles según las características de la amenaza.84Esta estrategia de protección dual ilustra dos conceptos importantes de
seguridad de la información conocidos como defensa en profundidad.85y defensa en amplitud.86
La información tiene valor y debe ser protegida. Los sistemas de información (que incluyen personas, procesos y
tecnologías) son los principales vehículos empleados para procesar, almacenar y transmitir dicha información, lo que
permite a las organizaciones llevar a cabo sus misiones en una variedad de entornos de operación y, en última
instancia, tener éxito.
82UnAmenaza Persistente Avanzadaes un adversario que posee niveles sofisticados de experiencia y recursos significativos que le permiten
crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque (p. ej., cibernético, físico y engañoso). Estos
objetivos típicamente incluyen establecer/ampliar puntos de apoyo dentro de la infraestructura de tecnología de la información de las
organizaciones objetivo con el fin de exfiltrar información, socavar o impedir aspectos críticos de una misión, programa u organización; o
posicionándose para llevar a cabo estos objetivos en el futuro. La amenaza persistente avanzada: (i) persigue sus objetivos repetidamente
durante un período prolongado de tiempo; (ii) se adapta a los esfuerzos de los defensores para resistirlo; y (iii) está decidida a mantener el
nivel de interacción necesario para ejecutar sus objetivos.
83 El borrador del Informe interinstitucional 7622 del NIST proporciona orientación sobre la gestión del riesgo de la cadena de suministro.
84Las características de la amenaza incluyen capacidades, intenciones e información de objetivos.
85Defensa en profundidades una estrategia de seguridad de la información que integra personas, tecnología y capacidades operativas
para establecer barreras variables en múltiples capas y misiones de la organización.
86Defensa en amplitudes un conjunto planificado y sistemático de actividades multidisciplinarias que buscan identificar,
administrar y reducir el riesgo de vulnerabilidades explotables en cada etapa del ciclo de vida del sistema, red o
subcomponente (diseño y desarrollo del sistema, red o producto; fabricación; empaque; montaje, integración de sistemas,
distribución, operaciones, mantenimiento y retiro).

Nistspecialpublication800-39 Af Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Nistspecialpublication800-39 Af Es

Cargado por

Copyright:

Formatos disponibles

Traducido del afrikáans al español - www.onlinedoctranslator.

Publicación especial NIST 800-39

Vista de organización, misión y sistema de

GRUPO DE TRABAJO CONJUNTO

División de Seguridad Informática Laboratorio de

Departamento de Comercio de EE.

Instituto Nacional de Normas y Tecnología

Informes sobre Tecnología de Sistemas Informáticos

Publicación especial NIST 800-39, 88 páginas

Instituto Nacional de Normas y Tecnología

Cumplimiento de las normas y directrices del NIST

Departamento de Defensa de EE. UU. Oficina del Director de Inteligencia Nacional

Gus Guissanie Charlene P. Leubecker

Dominic Cussatt marca j. morrison

Bárbara Fleming roger caslow

Instituto Nacional de Normas y Tecnología Comité de Sistemas de Seguridad Nacional

Guillermo C. Barker Eustaquio D. King

Donna Dodson Pedro Gouldmann

RonRoss Lanza Dubsky

Grupo de Trabajo Interinstitucional de la Iniciativa de Transformación de la Fuerza de Tarea Conjunta

RonRoss Gary Quemador de Piedras Jennifer Fabius-Greene kelley dempsey

DESARROLLO DE FUNDAMENTOS COMUNES DE SEGURIDAD DE LA INFORMACIÓN

COLABORACIÓN ENTRE ENTIDADES DEL SECTOR PÚBLICO Y PRIVADO

ALCANCE PREVISTO Y USO DE ESTA PUBLICACIÓN

CAPÍTULO UNOINTRODUCCIÓN.................................................... .......................................... 1

I La tecnología de la información es ampliamente reconocida como el motor que impulsa la economía de

• Asegúrese de que los líderes/ejecutivos sénior reconozcan la importancia de gestionar el riesgo de

• Fomentar un clima organizacional donde el riesgo de seguridad de la información se considere dentro

• Asignación de responsabilidades de gestión de riesgos a los líderes/ejecutivos senior;

• Establecer la tolerancia organizacional al riesgo y comunicar la tolerancia al riesgo en toda la

1.1 PROPÓSITO Y APLICABILIDAD

1.2 PÚBLICO OBJETIVO

• Individuos con responsabilidades de diseño, desarrollo e implementación de seguridad/sistemas de información (p.

1.3 PUBLICACIONES RELACIONADAS

• Publicación especial 800-53,Controles de seguridad recomendados para organizaciones y sistemas

• Publicación especial 800-53A,Guía para la Evaluación de los Controles de Seguridad en los

• Borrador de Publicación Especial 800-30,Guía para realizar evaluaciones de riesgos.12

• ISO/IEC 31000,Gestión de riesgos - Principios y directrices;

• ISO/IEC 31010,Gestión de riesgos - Técnicas de evaluación de riesgos;

• ISO/IEC 27001,Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de la

• ISO/IEC 27005,Tecnologías de la información - Técnicas de seguridad - Sistemas de gestión de riesgos de

1.4 ORGANIZACIÓN DE ESTA PUBLICACIÓN ESPECIAL El resto de

esta publicación especial está organizado de la siguiente manera:

2.1 COMPONENTES DE LA GESTIÓN DE RIESGOS

El primer componente de la gestión de riesgos aborda cómo las organizacionesmarcoriesgo o establecer un

El tercer componente de la gestión de riesgos aborda cómo las organizacionesresponderal

Como se indica en los cuatro componentes de la gestión de riesgos descritos

FIGURA 1: PROCESO DE GESTIÓN DE RIESGOS

2.2 GESTIÓN DE RIESGO MULTITIZADA

FIGURA 2: GESTIÓN DE RIESGOS EN TODA LA ORGANIZACIÓN EN MÚLTIPLES NIVELES

El nivel 1 aborda el riesgo de unorganizativoperspectiva. El Nivel 1 implementa el primer componente de la gestión de

17El ejecutivo de riesgos (función) se describe en la Sección 2.3.2.

2.3 PRIMER NIVEL-VISTA DE LA ORGANIZACIÓN

El nivel 1 aborda el riesgo de unorganizativoperspectiva estableciendo e implementando gobernancia

International Federation of Accountants también adoptaron esta definición en 2004.

• Asignación eficaz y eficiente de los recursos de gestión de riesgos;

• Resultados basados en el desempeño mediante la medición, el seguimiento y la presentación de informes de métricas de

2.3.2 Ejecutivo de Riesgos (Función)

• Establecer funciones y responsabilidades de gestión de riesgos;

• Desarrollar e implementar un plan de acción en toda la organizaciónestrategia de gestión de riesgosque guía e

2.3.3 Estrategia de gestión de riesgos

No existe un nivel correcto de tolerancia al riesgo organizacional. Más bien, el grado de

2.3.4 Estrategias de inversión