Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
INFORMACIÓN SEGURIDAD
marzo de 2011
El Laboratorio de Tecnología de la Información (ITL) del Instituto Nacional de Estándares y Tecnología (NIST)
promueve la economía y el bienestar público de EE. UU. proporcionando liderazgo técnico para la
infraestructura de medición y estándares del país. ITL desarrolla pruebas, métodos de prueba, datos de
referencia, implementaciones de prueba de concepto y análisis técnicos para avanzar en el desarrollo y el
uso productivo de la tecnología de la información. Las responsabilidades de ITL incluyen el desarrollo de
normas y pautas de gestión, administrativas, técnicas y físicas para la seguridad y privacidad rentables de
información distinta a la relacionada con la seguridad nacional en los sistemas de información federales. La
serie de publicaciones especiales 800 informa sobre la investigación, las pautas y los esfuerzos de
divulgación de ITL en seguridad de sistemas de información y sus actividades de colaboración con la
industria,
PÁGINA ii
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Autoridad
Esta publicación ha sido desarrollada por NIST para promover sus responsabilidades estatutarias bajo la Ley
Federal de Administración de Seguridad de la Información (FISMA), Ley Pública (PL) 107-347. NIST es responsable
de desarrollar estándares y pautas de seguridad de la información, incluidos los requisitos mínimos para los
sistemas de información federales, pero dichos estándares y pautas no se aplicarán a los sistemas de seguridad
nacional sin la aprobación expresa de los funcionarios federales apropiados que ejercen la autoridad política sobre
dichos sistemas. Esta guía es consistente con los requisitos de la Circular A-130 de la Oficina de Administración y
Presupuesto (OMB), Sección 8b (3),Asegurar los sistemas de información de la agencia, tal como se analiza en la
Circular A-130, Anexo IV:Análisis de secciones clave. Se proporciona información complementaria en la Circular
A-130, Apéndice III,Seguridad de los recursos de información automatizados federales.
Nada de lo contenido en esta publicación debe interpretarse como contradictorio con las normas y pautas que el
Secretario de Comercio hizo obligatorias y vinculantes para las agencias federales en virtud de la autoridad
legal. Estas pautas tampoco deben interpretarse como que alteran o reemplazan las autoridades existentes del
Secretario de Comercio, el Director de la OMB o cualquier otro funcionario federal. Esta publicación puede ser
utilizada por organizaciones no gubernamentales de forma voluntaria y no está sujeta a derechos de autor en
los Estados Unidos. Sin embargo, el NIST agradecería la atribución.
(marzo de 2011)
Ciertas entidades comerciales, equipos o materiales pueden identificarse en este documento para describir
adecuadamente un procedimiento o concepto experimental. Dicha identificación no pretende implicar
recomendación o respaldo por parte del NIST, ni pretende implicar que las entidades, materiales o equipos sean
necesariamente los mejores disponibles para el propósito.
Puede haber referencias en esta publicación a otras publicaciones actualmente en desarrollo por parte del NIST de acuerdo
con sus responsabilidades estatutarias asignadas. Las agencias federales pueden utilizar la información de esta publicación,
incluidos los conceptos y las metodologías, incluso antes de que se completen dichas publicaciones complementarias. Por lo
tanto, hasta que se complete cada publicación, los requisitos, lineamientos y procedimientos actuales, donde existan,
permanecerán operativos. Con fines de planificación y transición, es posible que las agencias federales deseen seguir de cerca
el desarrollo de estas nuevas publicaciones por parte del NIST.
Se alienta a las organizaciones a revisar todos los borradores de las publicaciones durante los períodos de comentarios públicos y
proporcionar comentarios al NIST. Todas las publicaciones del NIST, además de las mencionadas anteriormente, están disponibles en http://
csrc.nist.gov/publications.
PÁGINA iii
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
De conformidad con lo dispuesto en FISMA,1el Secretario de Comercio deberá, sobre la base de las normas y
directrices desarrolladas por el NIST, prescribir normas y directrices relacionadas con los sistemas de información
federales. El Secretario establecerá normas obligatorias y vinculantes en la medida que el Secretario determine
necesarias para mejorar la eficiencia de operación o seguridad de los sistemas de información federales. Los
estándares prescritos incluirán estándares de seguridad de la información que proporcionen requisitos mínimos
de seguridad de la información y que sean necesarios para mejorar la seguridad de la información federal y los
sistemas de información.
• Los Estándares Federales de Procesamiento de Información (FIPS) están aprobados por el Secretario
de Comercio y emitidos por NIST de acuerdo con FISMA. Los FIPS son obligatorios y vinculantes para
las agencias federales.2FISMA requiere que las agencias federales cumplan con estos estándares y,
por lo tanto, las agencias no pueden renunciar a su uso.
• Las publicaciones especiales (SP) son desarrolladas y emitidas por el NIST como recomendaciones y documentos
de orientación. Para otros programas y sistemas de seguridad nacional, las agencias federales deben seguir las
Publicaciones Especiales del NIST exigidas en un Estándar Federal de Procesamiento de Información. FIPS 200
ordena el uso de la Publicación Especial 800-53, enmendada. Además, las políticas de la OMB (incluidas las
Instrucciones de informes de la OMB para FISMA y la Gestión de la privacidad de la agencia) establecen que,
aparte de los programas y sistemas de seguridad nacional, las agencias federales deben seguir ciertas
Publicaciones especiales específicas del NIST.3
• Otras publicaciones relacionadas con la seguridad, incluidos los informes interinstitucionales (NISTIR) y los
boletines ITL, brindan información técnica y de otro tipo sobre las actividades del NIST. Estas publicaciones
son obligatorias solo cuando lo especifica la OMB.
• La OMB establece los cronogramas de cumplimiento de las normas y pautas de seguridad del
NIST en políticas, directivas o memorandos (p. ej., la guía de informes FISMA anual).4
1La Ley de Gobierno Electrónico (PL 107-347) reconoce la importancia de la seguridad de la información para los intereses económicos y de seguridad
nacional de los Estados Unidos. El Título III de la Ley de Gobierno Electrónico, denominada Ley Federal de Gestión de la Seguridad de la Información
(FISMA), enfatiza la necesidad de que las organizaciones desarrollen, documenten e implementen un programa para toda la organización para
brindar seguridad a los sistemas de información que respaldan sus operaciones y activos. .
2El terminoagenciase utiliza en esta publicación en lugar del término más generalorganizaciónsolo en aquellas circunstancias en las que su
uso está directamente relacionado con otros documentos fuente, como la legislación o la política federal.
3Si bien las agencias federales están obligadas a seguir ciertas publicaciones especiales específicas del NIST de acuerdo con la política de la
OMB, existe flexibilidad en la forma en que las agencias aplican la guía. Las agencias federales aplican los conceptos y principios de
seguridad articulados en las Publicaciones Especiales del NIST de acuerdo con y en el contexto de las misiones, funciones comerciales y
entorno de operación de la agencia. En consecuencia, la aplicación de la guía NIST por parte de las agencias federales puede dar como
resultado diferentes soluciones de seguridad que son igualmente aceptables, cumplen con la guía y cumplen con la definición de OMB de
seguridad adecuadapara los sistemas de información federales. Dada la alta prioridad del intercambio de información y la transparencia
dentro del gobierno federal, las agencias también consideran la reciprocidad al desarrollar sus soluciones de seguridad de la información. Al
evaluar el cumplimiento de la agencia federal con las publicaciones especiales del NIST, los inspectores generales, los evaluadores, los
auditores y los asesores consideran la intención de los conceptos y principios de seguridad articulados en el documento de guía específico y
cómo la agencia aplicó la guía en el contexto de su misión/responsabilidades comerciales. , entorno operativo y condiciones organizativas
únicas.
4A menos que se indique lo contrario, todas las referencias a publicaciones del NIST en este documento (es decir, Estándares Federales de
Procesamiento de Información y Publicaciones Especiales) se refieren a la versión más reciente de la publicación.
PÁGINA IV
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Expresiones de gratitud
Esta publicación fue desarrollada por elIniciativa de Transformación de la Fuerza de Tarea ConjuntaGrupo
de trabajo interinstitucional con representantes de las comunidades civil, de defensa y de inteligencia en un
esfuerzo continuo por producir un marco de seguridad de la información unificado para el gobierno federal.
El Instituto Nacional de Estándares y Tecnología desea reconocer y agradecer a los líderes principales de los
Departamentos de Comercio y Defensa, la Oficina del Director de Inteligencia Nacional, el Comité de
Sistemas de Seguridad Nacional y los miembros del grupo de trabajo técnico interinstitucional cuyo
dedicado esfuerzos contribuyeron significativamente a la publicación. Los líderes sénior, los miembros del
grupo de trabajo interinstitucional y sus afiliaciones organizacionales incluyen:
Además de los reconocimientos anteriores, una nota especial de agradecimiento va para Peggy Himes
y Elizabeth Lennon por su excelente edición técnica y apoyo administrativo y para Bennett Hodge,
Cassandra Kelly, Marshall Abrams, Marianne Swanson, Patricia Toth, Kevin Stine y Matt Scholl. por sus
valiosas ideas y contribuciones. Los autores también reconocen y aprecian con gratitud las
contribuciones significativas de personas y organizaciones de los sectores público y privado, tanto a
nivel nacional como internacional, cuyos comentarios reflexivos y constructivos mejoraron la calidad
general, la exhaustividad y la utilidad de esta publicación.
PAGINA v
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Al desarrollar los estándares y lineamientos requeridos por FISMA, el NIST consulta con otras agencias y oficinas federales, así como con el sector privado, para mejorar la seguridad de la
información, evitar la duplicación innecesaria y costosa de esfuerzos y garantizar que las publicaciones del NIST sean complementarias a los estándares y lineamientos empleados para la
protección de los sistemas de seguridad nacional. Además de su exhaustivo proceso de investigación y revisión pública, el NIST está colaborando con la Oficina del Director de Inteligencia Nacional
(ODNI), el Departamento de Defensa (DoD) y el Comité de Sistemas de Seguridad Nacional (CNSS) para establecer una base común para la seguridad de la información en todo el gobierno federal.
Una base común para la seguridad de la información proporcionará a los sectores de inteligencia, defensa y civil del gobierno federal y sus contratistas, formas más uniformes y consistentes de
administrar el riesgo para las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación que resulta de la operación y uso de los sistemas de información. Una base común
para la seguridad de la información también proporcionará una base sólida para la aceptación recíproca de los resultados de la evaluación de la seguridad y facilitará el intercambio de información.
NIST también está trabajando con entidades del sector público y privado para establecer mapeos y relaciones entre los estándares de seguridad y las pautas desarrolladas por NIST y la
Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Una base común para la seguridad de la información también proporcionará una base sólida
para la aceptación recíproca de los resultados de la evaluación de la seguridad y facilitará el intercambio de información. NIST también está trabajando con entidades del sector público y privado
para establecer mapeos y relaciones entre los estándares de seguridad y las pautas desarrolladas por NIST y la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica
Internacional (IEC). Una base común para la seguridad de la información también proporcionará una base sólida para la aceptación recíproca de los resultados de la evaluación de la seguridad y
facilitará el intercambio de información. NIST también está trabajando con entidades del sector público y privado para establecer mapeos y relaciones entre los estándares de seguridad y las
pautas desarrolladas por NIST y la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
PÁGINA vi
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
NOTA DE PRECAUCIÓN
La orientación proporcionada en esta publicación tiene por objeto abordarsolola gestión del riesgo relacionado con
la seguridad de la información derivado o asociado con la operación y el uso de los sistemas de información o los
entornos en los que operan esos sistemas. la guia esnodestinados a reemplazar o subsumir otras actividades,
programas, procesos o enfoques relacionados con el riesgo que las organizaciones han implementado o tienen la
intención de implementar para abordar áreas de gestión de riesgos cubiertas por otra legislación, directivas,
políticas, iniciativas programáticas o requisitos de misión/negocio. Más bien, la guía de gestión de riesgos de
seguridad de la información descrita en este documento es complementaria y debe utilizarse como parte de un
programa de gestión de riesgos empresariales (ERM) más completo.
PÁGINA vii
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Tabla de contenido
PÁGINA viii
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Prólogo
“...A través del proceso de gestión de riesgos, los líderes deben considerar el riesgo para los intereses de los EE. UU. de
los adversarios que usan el ciberespacio para su beneficio y de nuestros propios esfuerzos para emplear la naturaleza
global del ciberespacio para lograr objetivos en operaciones militares, de inteligencia y comerciales...”
“... Para el desarrollo de planes operativos, se debe evaluar la combinación de amenazas, vulnerabilidades e
impactos para identificar tendencias importantes y decidir dónde se debe aplicar el esfuerzo para eliminar o
reducir las capacidades de amenaza; eliminar o reducir vulnerabilidades; y evaluar, coordinar y eliminar conflictos
de todas las operaciones del ciberespacio...”
“... Los líderes en todos los niveles son responsables de garantizar la preparación y la seguridad en la misma medida que en
cualquier otro dominio ...”
- - TTENERAACIONALSESTRATEGIA PARACYBERSPACEOPERACIONES
OOFICINA DE LACPELUQUERO, jPUNTOCHIEFS OSTAFF, DÓLAR ESTADOUNIDENSEAPARTAMENTO DEDEFECTO
PÁGINA ix
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
CAPÍTULO UNO
INTRODUCCIÓN
LA NECESIDAD DE UNA GESTIÓN DE RIESGOS INTEGRADA EN TODA LA ORGANIZACIÓN
El riesgo organizacional puede incluir muchos tipos de riesgo (p. ej., riesgo de gestión de programas, riesgo de inversión, riesgo presupuestario, riesgo de responsabilidad legal, riesgo de seguridad,
riesgo de inventario, riesgo de cadena de suministro y riesgo de seguridad). El riesgo de seguridad relacionado con la operación y el uso de los sistemas de información es solo uno de los muchos
componentes del riesgo organizacional que los líderes/ejecutivos senior abordan como parte de sus responsabilidades continuas de gestión de riesgos. La gestión de riesgos efectiva requiere que las
organizaciones operen en entornos altamente complejos e interconectados utilizando sistemas de información heredados y de última generación, sistemas de los que las organizaciones dependen para
cumplir sus misiones y realizar funciones importantes relacionadas con el negocio. Los líderes deben reconocer que explícitamente, Las decisiones bien informadas basadas en el riesgo son necesarias
para equilibrar los beneficios obtenidos de la operación y el uso de estos sistemas de información con el riesgo de que los mismos sistemas sean vehículos a través de los cuales los ataques
intencionados, las interrupciones ambientales o los errores humanos provoquen el fracaso de la misión o del negocio. . La gestión de riesgos de seguridad de la información, como la gestión de riesgos
en general, no es una ciencia exacta. Reúne los mejores juicios colectivos de individuos y grupos dentro de las organizaciones responsables de la planificación estratégica, la supervisión, la gestión y las
operaciones diarias, proporcionando las medidas de respuesta a los riesgos necesarias y suficientes para proteger adecuadamente las misiones y funciones comerciales de esas organizaciones. . las
interrupciones ambientales o los errores humanos provocan el fracaso de la misión o del negocio. La gestión de riesgos de seguridad de la información, como la gestión de riesgos en general, no es una
ciencia exacta. Reúne los mejores juicios colectivos de individuos y grupos dentro de las organizaciones responsables de la planificación estratégica, la supervisión, la gestión y las operaciones diarias,
proporcionando las medidas de respuesta a los riesgos necesarias y suficientes para proteger adecuadamente las misiones y funciones comerciales de esas organizaciones. . las interrupciones
ambientales o los errores humanos provocan el fracaso de la misión o del negocio. La gestión de riesgos de seguridad de la información, como la gestión de riesgos en general, no es una ciencia exacta.
Reúne los mejores juicios colectivos de individuos y grupos dentro de las organizaciones responsables de la planificación estratégica, la supervisión, la gestión y las operaciones diarias, proporcionando
las medidas de respuesta a los riesgos necesarias y suficientes para proteger adecuadamente las misiones y funciones comerciales de esas organizaciones. .
5El terminoorganizacióndescribe una entidad de cualquier tamaño, complejidad o posición dentro de una estructura organizativa (p. ej.,
una agencia federal o, según corresponda, cualquiera de sus elementos operativos) que se encarga de llevar a cabo la misión o los
procesos comerciales asignados y que utiliza sistemas de información como apoyo de esos procesos.
6Unsistema de informaciones un conjunto discreto de recursos de información organizados para la recopilación, el procesamiento, el
mantenimiento, el uso, el intercambio, la difusión o la disposición de la información. En el contexto de esta publicación, la definición incluye el
entorno en el que opera el sistema de información (es decir, personas, procesos, tecnologías, instalaciones y ciberespacio).
CAPÍTULO 1 PÁGINA 1
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Las complejas relaciones entre misiones, misión/procesos comerciales y los sistemas de información que respaldan esas
misiones/procesos requieren una visión integrada de toda la organización para administrar el riesgo.7A menos que se
indique lo contrario, las referencias ariesgoen esta publicación se refieren al riesgo de seguridad de la información
proveniente de la operación y el uso de los sistemas de información organizacionales, incluidos los procesos,
procedimientos y estructuras dentro de las organizaciones que influyen o afectan el diseño, desarrollo, implementación y
operación continua de esos sistemas. El papel de la seguridad de la información en la gestión del riesgo de la operación y
el uso de los sistemas de información también es fundamental para el éxito de las organizaciones en el logro de sus
metas y objetivos estratégicos. Históricamente, los líderes/ejecutivos senior han tenido una visión muy estrecha de la
seguridad de la información, ya sea como un asunto técnico o como un conducto de escape que era independiente del
riesgo organizacional y los procesos tradicionales de gestión y ciclo de vida. Esta perspectiva extremadamente limitada a
menudo resultó en una consideración inadecuada de cómo el riesgo de seguridad de la información, al igual que otros
riesgos organizacionales, afecta la probabilidad de que las organizaciones lleven a cabo con éxito sus misiones y
funciones comerciales. Esta publicación ubica la seguridad de la información en el contexto organizacional más amplio
para lograr el éxito de la misión/negocio. El objetivo es:
• Asegurarse de que el proceso de gestión de riesgos de la organización se lleve a cabo de manera efectiva en los tres
niveles de la organización, la misión/procesos comerciales y los sistemas de información;
• Ayudar a las personas con responsabilidades en la implementación u operación del sistema de información a comprender
mejor cómo el riesgo de seguridad de la información asociado con sus sistemas se traduce en un riesgo para toda la
organización que, en última instancia, puede afectar la misión o el éxito empresarial.
Para ejecutar con éxito las misiones organizacionales y las funciones comerciales con procesos dependientes del
sistema de información, los líderes/ejecutivos senior deben comprometerse a hacer de la gestión de riesgos una
misión/requisito comercial fundamental. Este compromiso ejecutivo de alto nivel garantiza que haya suficientes
recursos disponibles para desarrollar e implementar programas efectivos de gestión de riesgos en toda la
organización. Comprender y abordar el riesgo es unestratégicocapacidad y unhabilitador de misiones y funciones
comerciales en todas las organizaciones. La gestión eficaz de los riesgos de seguridad de la información en toda la
organización requiere los siguientes elementos clave:
• Reconocimiento y comprensión continuos por parte de los líderes superiores/ejecutivos de los riesgos de seguridad
de la información para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación
que surgen de la operación y el uso de los sistemas de información;
• Responsabilidad de los líderes/ejecutivos sénior por sus decisiones de gestión de riesgos y por la
implementación de programas efectivos de gestión de riesgos en toda la organización.
7La agregación de diferentes tipos de riesgo en toda la organización está más allá del alcance de esta publicación.
8La evaluación deriesgo residual(que cambia con el tiempo) para determinar el riesgo aceptable depende del umbral establecido por la
organizacióntolerancia al riesgo.
CAPÍTULO 1 PÁGINA 2
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Esta publicación cumple con los requisitos de FISMA y cumple o supera los requisitos de seguridad de la
información establecidos para las agencias ejecutivas9por la Oficina de Gerencia y Presupuesto (OGP) en la
Circular A-130, Apéndice III,Seguridad de los recursos de información automatizados federales.Las pautas de esta
publicación se aplican a todos los sistemas de información federales que no sean los sistemas designados como
sistemas de seguridad nacional según se define en 44 USC, Sección 3542. Las pautas se han desarrollado
ampliamente desde una perspectiva técnica para complementar pautas similares para los sistemas de seguridad
nacional y pueden utilizarse para dichos sistemas con la aprobación de los funcionarios federales apropiados que
ejerzan autoridad política sobre dichos sistemas. Se alienta a los gobiernos estatales, locales y tribales, así como a
las organizaciones del sector privado, a considerar el uso de estas pautas, según corresponda.
• Personas con responsabilidades de supervisión de la gestión de riesgos (p. ej., jefes de agencias,
directores ejecutivos, directores de operaciones);
• Individuos con responsabilidades para llevar a cabo misiones organizativas/funciones comerciales (p. ej., propietarios de
misiones/negocios, propietarios/administradores de información, funcionarios que autorizan);
• Personas con responsabilidades para adquirir productos, servicios o sistemas de información de tecnología de la
información (p. ej., funcionarios de adquisiciones, funcionarios de adquisiciones, funcionarios de contratación);
• Personas con responsabilidades operativas, de supervisión y de gestión de la seguridad de la información (p. ej.,
directores de información, oficiales superiores de seguridad de la información,10gerentes de seguridad de la
información, propietarios de sistemas de información, proveedores de control común);
9UnAgencia ejecutivaes: (i) un departamento ejecutivo especificado en 5 USC, Sección 101; (ii) un departamento militar
especificado en 5 USC, Sección 102; (iii) un establecimiento independiente como se define en 5 USC, Sección 104 (1); y (iv) una
corporación de propiedad total del gobierno totalmente sujeta a las disposiciones de 31 USC, Capítulo 91. En esta publicación, el
términoAgencia ejecutivaes sinónimo del términoagencia Federal.
10En elagencianivel, este puesto se conoce como Oficial Superior de Seguridad de la Información de la Agencia. Las organizaciones también pueden
referirse a esta posición como laDirector de seguridad de la información.
CAPÍTULO 1 PÁGINA 3
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
• Individuos con responsabilidades de monitoreo y evaluación de la seguridad de la información (p. ej., evaluadores de
sistemas, evaluadores de penetración, evaluadores de control de seguridad, verificadores/validadores independientes,
inspectores generales, auditores).
El enfoque de gestión de riesgos descrito en esta publicación está respaldado por una serie de normas y directrices de
seguridad necesarias para gestionar los riesgos de seguridad de la información. En particular, las Publicaciones Especiales
desarrolladas por la Iniciativa de Transformación de la Fuerza de Tarea Conjunta11que respaldan el marco unificado de
seguridad de la información para el gobierno federal incluyen:
• Publicación especial 800-37,Guía para aplicar el marco de gestión de riesgos a los sistemas de información
federales: un enfoque del ciclo de vida de la seguridad;
Además de las publicaciones del Grupo de trabajo conjunto enumeradas anteriormente, la Organización
internacional de normalización (ISO) y la Comisión electrotécnica internacional (IEC) publican estándares para la
gestión de riesgos y la seguridad de la información, que incluyen:
La misión de NIST incluye la armonización de estándares internacionales y nacionales cuando corresponda. Los
conceptos y principios contenidos en esta publicación están destinados a implementar para los sistemas y
organizaciones de información federales, un sistema de gestión de seguridad de la información y un proceso de
gestión de riesgos similar a los descritos en las normas ISO/IEC. Esto reduce la carga de las organizaciones que
deben cumplir tanto con las normas ISO/IEC como con las normas y directrices del NIST.
11Se puede obtener una descripción general de cada publicación de la Iniciativa de Transformación de la Fuerza de Tarea Conjunta, similar a un
Resumen Ejecutivo, a través de los Boletines de Seguridad ITL del NIST apropiados enhttp://csrc.nist.gov .
12La Publicación Especial 800-39 reemplaza a la Publicación Especial 800-30 original como fuente de orientación sobre la gestión de
riesgos. La Publicación especial 800-30 se está revisando para brindar orientación sobre la evaluación de riesgos como documento de
apoyo a la Publicación especial 800-39.
CAPÍTULO 1 PÁGINA 4
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
• Capitulo dosdescribe: (i) los componentes de la gestión de riesgos; (ii) el enfoque de gestión de
riesgos de varios niveles; (iii) gestión de riesgos a nivel de organización (Tier 1); (iv) gestión de riesgos
a nivel de misión/proceso de negocio (Nivel 2); (v) gestión de riesgos a nivel del sistema de
información (Nivel 3); (vi) riesgo relacionado con la confianza y confiabilidad; (vii) los efectos de la
cultura organizacional sobre el riesgo; y (viii) relaciones entre conceptos clave de gestión de riesgos.
• Capítulo tresdescribe un proceso basado en el ciclo de vida para administrar el riesgo de seguridad de la información que
incluye: (i) una descripción general del proceso de administración de riesgos; (ii) cómo las organizaciones establecen el
contexto para las decisiones basadas en el riesgo; (iii) cómo las organizaciones evalúan el riesgo; (iv) cómo las
organizaciones responden al riesgo; y (v) cómo las organizaciones monitorean el riesgo a lo largo del tiempo.
• Apéndices de apoyoproporcionar información adicional sobre gestión de riesgos, incluidos: (i) referencias
generales; (ii) definiciones y términos; (iii) siglas; (iv) roles y responsabilidades; (v) tareas del proceso de
gestión de riesgos; (vi) modelos de gobernanza; (vii) modelos de confianza; y (viii) estrategias de respuesta al
riesgo.
CAPÍTULO 1 PAGINA 5
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
CAPITULO DOS
LOS FUNDAMENTOS
CONCEPTOS BÁSICOS ASOCIADOS A LA GESTIÓN DE RIESGOS
T Este capítulo describe los conceptos fundamentales asociados con la gestión de riesgos de seguridad de
la información en una organización, incluidos: (i) los componentes de la gestión de riesgos; (ii) el enfoque
de gestión de riesgos de varios niveles; (iii) gestión de riesgos en el Nivel 1 (nivel de organización); (iv)
gestión de riesgos en el Nivel 2 (nivel de misión/proceso comercial); (v) gestión de riesgos en el Nivel 3 (nivel del
sistema de información); (vi) riesgo relacionado con la confianza y confiabilidad; (vii) los efectos de la cultura
organizacional sobre el riesgo; y (viii) las relaciones entre los conceptos clave de gestión de riesgos.
La gestión del riesgo es una actividad compleja y multifacética que requiere la participación de toda la organización, desde
los líderes/ejecutivos senior que brindan la visión estratégica y las metas y objetivos de alto nivel para la organización; a
los líderes de nivel medio que planifican, ejecutan y gestionan proyectos; a personas en primera línea que operan los
sistemas de información que respaldan las misiones / funciones comerciales de la organización. La gestión de riesgos es
un proceso integral que requiere que las organizaciones: (i)marcoriesgo (es decir, establecer el contexto para las
decisiones basadas en el riesgo); (ii) evaluarriesgo; (iii)responderarriesgar una vez determinado; y (iv)monitorriesgo de
forma continua utilizando comunicaciones organizacionales efectivas y un circuito de retroalimentación para la mejora
continua en las actividades relacionadas con el riesgo de las organizaciones. La gestión de riesgos se lleva a cabo como
una actividad holística de toda la organización que aborda el riesgo desde el nivel estratégico hasta el nivel táctico,
asegurando que la toma de decisiones basada en el riesgo se integre en todos los aspectos de la organización.13Las
siguientes secciones describen brevemente cada uno de los cuatro componentes de la gestión de riesgos.
13La gestión de riesgos integrada en toda la empresa incluye, por ejemplo, la consideración de: (i) las metas/objetivos estratégicos de las
organizaciones; (ii) misiones organizacionales / funciones comerciales priorizadas según sea necesario; (iii) misión/procesos comerciales; (iv)
arquitecturas empresariales y de seguridad de la información; y (v) procesos del ciclo de vida del desarrollo del sistema.
CAPITULO 2 PÁGINA 6
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
El segundo componente de la gestión de riesgos aborda cómo las organizacionesevaluarriesgo dentro del contexto del
marco de riesgo organizacional. El propósito del componente de evaluación de riesgos es identificar: (i) amenazas a las
organizaciones (es decir, operaciones, activos o personas) o amenazas dirigidas a través de organizaciones contra otras
organizaciones o la Nación; (ii) vulnerabilidades internas y externas a las organizaciones;14(iii) el daño (es decir,
consecuencias/impacto) a las organizaciones que puede ocurrir dado el potencial de amenazas que aprovechan las
vulnerabilidades; y (iv) la probabilidad de que ocurra un daño. El resultado final es una determinación del riesgo (es
decir, el grado de daño y la probabilidad de que ocurra). Para respaldar el componente de evaluación de riesgos, las
organizaciones identifican: (i) las herramientas, técnicas y metodologías que se utilizan para evaluar el riesgo; (ii) los
supuestos relacionados con las evaluaciones de riesgo; (iii) las limitaciones que pueden afectar las evaluaciones de
riesgo; (iv) roles y responsabilidades; (v) cómo se recopila, procesa y comunica la información de la evaluación de riesgos
en todas las organizaciones; (vi) cómo se realizan las evaluaciones de riesgos dentro de las organizaciones; (vii) la
frecuencia de las evaluaciones de riesgo; y (viii) cómo se obtiene la información sobre amenazas (es decir, fuentes y
métodos).
El cuarto componente de la gestión de riesgos aborda cómo las organizacionesmonitorriesgo con el tiempo. El propósito
del componente de monitoreo de riesgos es: (i) verificar que se implementen las medidas planificadas de respuesta a los
riesgos y que los requisitos de seguridad de la información se deriven de / sean rastreables a las misiones
organizacionales / funciones comerciales, la legislación federal, las directivas, los reglamentos, las políticas y los
estándares y las directrices , estan satisfechos; (ii) determinar la efectividad continua de las medidas de respuesta al riesgo
después de la implementación; y (iii) identificar cambios que impacten en el riesgo de los sistemas de información
organizacionales y los entornos en los que operan los sistemas.dieciséisPara respaldar el componente de monitoreo de
riesgos, las organizaciones describen cómo se verifica el cumplimiento y cómo se determina la efectividad continua de las
respuestas al riesgo (p. ej., los tipos de herramientas, técnicas y metodologías utilizadas para determinar la suficiencia/
corrección de las respuestas al riesgo y si se toman medidas de mitigación del riesgo). se implementan correctamente,
funcionan según lo previsto y producen el efecto deseado con respecto a la reducción del riesgo). Además, las
organizaciones describen cómo se monitorean los cambios que pueden afectar la efectividad continua de las respuestas al
riesgo.
14Las vulnerabilidades organizacionales no se limitan a los sistemas de información, sino que pueden incluir, por ejemplo, vulnerabilidades en las estructuras de
gobierno, la misión/los procesos comerciales, la arquitectura empresarial, la arquitectura de seguridad de la información, las instalaciones, los equipos, los procesos
del ciclo de vida del desarrollo del sistema, las actividades de la cadena de suministro y los proveedores de servicios externos. .
15La guía de gestión de riesgos de la cadena de suministro se proporciona en el Informe interinstitucional 7622 del NIST.
dieciséis Los entornos de operación incluyen, pero no se limitan a: el espacio de amenazas; vulnerabilidades; misiones/funciones comerciales;
misión/procesos comerciales; arquitecturas empresariales y de seguridad de la información; tecnologías de la información; personal;
instalaciones; relaciones de la cadena de suministro; gobernanza / cultura organizacional; procesos de compras/adquisiciones; políticas/
procedimientos organizacionales; suposiciones organizativas, limitaciones, tolerancia al riesgo y prioridades/compensaciones).
CAPITULO 2 PÁGINA 7
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
La figura 1 ilustra el proceso de gestión de riesgos y los flujos de información y comunicaciones entre los
componentes. Las flechas negras representan elprimariofluye dentro del proceso de gestión de riesgos con
el riesgoenmarcadoinformando todo el conjunto secuencial paso a paso de actividades que se mueven
desde el riesgoevaluaciónarriesgarrespuestaarriesgarsupervisión. Por ejemplo, uno de los principales
resultados del componente de elaboración de marcos de riesgo es una descripción de las fuentes y los
métodos que utilizan las organizaciones para adquirir información sobre amenazas (p. ej., informes de la
comunidad de inteligencia clasificados y de fuente abierta). La salida con respecto a la información sobre
amenazas es una entrada principal para el componente de evaluación de riesgos y se comunica en
consecuencia a ese componente. Otro ejemplo se ilustra en el resultado principal del componente de
evaluación de riesgos, es decir, una determinación del riesgo. El resultado del componente de evaluación de
riesgos se comunica al componente de respuesta al riesgo y se recibe como entrada principal para ese
componente. Otra entrada principal al componente de respuesta al riesgo es un resultado del componente
de encuadre del riesgo: la estrategia de gestión del riesgo que define cómo la organización debe responder
al riesgo. Juntas, estas entradas,
EVALUAR
Información y Información y
Flujos de comunicaciones Flujos de comunicaciones
MARCO
MONITOR RESPONDER
El carácter bidireccional de las flechas indica que los flujos de información y comunicación entre los
componentes de gestión de riesgos, así como el orden de ejecución de los componentes, pueden
CAPITULO 2 PAGINA 8
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
ser flexible y responder a la naturaleza dinámica del proceso de gestión de riesgos. Por ejemplo, la nueva legislación,
directivas o políticas pueden requerir que las organizaciones implementen medidas adicionales de respuesta al riesgo de
inmediato. Esta información se comunica directamente desde el componente de elaboración del marco de riesgo al
componente de respuesta al riesgo, donde se llevan a cabo actividades específicas para lograr el cumplimiento de la nueva
legislación, directivas o políticas, lo que ilustra la naturaleza muy dinámica y flexible de la información a medida que
avanza en la gestión de riesgos. proceso. El Capítulo Tres proporciona una descripción completa del proceso de gestión de
riesgos en toda la organización, incluidas las especificaciones para entradas/condiciones previas, actividades y salidas/
condiciones posteriores.
RIESGO ESTRATÉGICO
- rastreable ra-Tier
Riesgo-Bas
TIER 1
- Organizar ORGANIZACIÓN
o
movimiento
Riesgo Awa
EL NIVEL 2
SION/PROCESOS DE NEGOCIO
NIVEL 3
SISTEMAS DE INFORMACIÓN
RIESGO TÁCTICO
CAPITULO 2 PÁGINA 9
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Otros ejemplos de actividades de Nivel 1 que afectan las actividades de Nivel 2 y Nivel 3 incluyen la selección de controles
comunes, la provisión de orientación del ejecutivo de riesgo (función)17a los funcionarios autorizadores, y el
establecimiento de la orden de recuperación de los sistemas de información que respaldan las misiones críticas y las
operaciones comerciales. La Sección 2.3 proporciona una descripción más detallada de las actividades específicas
asociadas con el Nivel 1.
El nivel 2 aborda el riesgo de unmisión / proceso de negocioperspectiva y está informado por el contexto de riesgo,
las decisiones de riesgo y las actividades de riesgo en el Nivel 1. Las actividades de gestión de riesgo de Nivel 2
incluyen: (i) definir la misión/procesos comerciales necesarios para respaldar las misiones y funciones comerciales
de las organizaciones; (ii) priorizar la misión/procesos de negocio con respecto a las metas y objetivos estratégicos
de las organizaciones; (iii) definir los tipos de información necesarios para ejecutar con éxito la misión/procesos
comerciales, la criticidad/sensibilidad de la información y los flujos de información tanto internos como externos a
las organizaciones; (iv) incorporar requisitos de seguridad de la información18en la misión/procesos comerciales; y
(v) establecer una arquitectura empresarial19con arquitectura de seguridad de la información integrada20que
promueva soluciones de tecnología de la información rentables y eficientes en consonancia con las metas y
objetivos estratégicos de la organización y las medidas de desempeño. Las actividades del Nivel 2 afectan
directamente las actividades realizadas en el Nivel 3. Por ejemplo, la parte de la arquitectura de seguridad de la
información de la arquitectura empresarial desarrollada en el Nivel 2 influye y guía la asignación de las
necesidades de protección de la información que, a su vez, influye y guía la asignación de la controles de seguridad
a componentes específicos de los sistemas de información de la organización en el Nivel 3. Las decisiones de
arquitectura empresarial en el Nivel 2 afectan el diseño de los sistemas de información en el Nivel 3, incluidos los
tipos de tecnologías de la información aceptables para usar en el desarrollo de esos sistemas. Las actividades
realizadas en el Nivel 2 también pueden proporcionar retroalimentación útil al Nivel 1, posiblemente resultando en
revisiones al marco de riesgo organizacional o afectando las actividades de gestión de riesgos llevadas a cabo en el
Nivel 1, por ejemplo, aquellas realizadas por el ejecutivo de riesgos (función). La Sección 2.4 proporciona una
descripción más detallada de las actividades específicas asociadas con el Nivel 2.
El nivel 3 aborda el riesgo de unsistema de informacionperspectiva y se guía por el contexto de riesgo, las
decisiones de riesgo y las actividades de riesgo en los Niveles 1 y 2. Las actividades de gestión de riesgos de
Nivel 3 incluyen: (i) categorizar los sistemas de información de la organización; (ii) asignar controles de
seguridad a los sistemas de información de la organización y los entornos en los que esos sistemas operan
de manera coherente con la arquitectura empresarial establecida de la organización y la arquitectura de
seguridad de la información integrada; y (iii) administrar la selección, implementación, evaluación,
autorización y monitoreo continuo de los controles de seguridad asignados como parte de un proceso
disciplinado y estructurado del ciclo de vida del desarrollo del sistema implementado en toda la
organización. En el Nivel 3, los propietarios de sistemas de información, los proveedores de control común,
los ingenieros de sistemas y seguridad,
18Los requisitos de seguridad de la información se pueden obtener de una variedad de fuentes (p. ej., legislación, políticas, directivas, reglamentos,
estándares y requisitos de misión/negocio/operativos de la organización). Los requisitos de seguridad a nivel de la organización se documentan en
el plan del programa de seguridad de la información o en un documento equivalente.
19Los Modelos de Referencia de Arquitectura Empresarial Federal y las Arquitecturas de Segmento y Solución se definen en el Programa de
Arquitectura Empresarial Federal (FEA) de la OMB,Documento de modelo de referencia consolidado FEA,Versión 2.3, octubre de 2003 y OMB
Metodología de Arquitectura de Segmento Federal (FSAM),enero de 2009, respectivamente.
20Elarquitectura de seguridad de la informacióndescribe los aspectos relacionados con la seguridad de la arquitectura empresarial que
se incorporan a la definición de arquitectura empresarial como parte integral del desarrollo de la arquitectura, es decir, una
subarquitectura derivada de la arquitectura empresarial, no una capa o arquitectura definida por separado.
CAPITULO 2 PAGINA 10
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
seguimiento de los sistemas de información de la organización. Sobre la base de estas decisiones diarias basadas en el
riesgo operativo, los funcionarios autorizadores toman decisiones de seguimiento basadas en el riesgo sobre si los
sistemas de información están o no autorizados inicialmente para operar dentro de los entornos de operación designados
o continúan recibiendo autorización para operar en una base continua. Estas decisiones continuas basadas en riesgos
están informadas por el proceso de gestión de riesgos con la guía del ejecutivo de riesgos (función) y las diversas
consideraciones arquitectónicas que respaldan la misión/procesos comerciales. Además, las actividades en el Nivel 3
brindan retroalimentación esencial a los Niveles 1 y 2. Las nuevas vulnerabilidades descubiertas en un sistema de
información organizacional, por ejemplo, pueden tener implicaciones sistémicas que se extiendan a toda la organización.
Esas mismas vulnerabilidades pueden desencadenar cambios en la arquitectura empresarial y la arquitectura de
seguridad de la información integrada o pueden requerir un ajuste en la tolerancia al riesgo de la organización. La Sección
2.5 proporciona una descripción más detallada de las actividades específicas asociadas con el Nivel 3.
Dado que la misión y el éxito comercial en las organizaciones dependen de los sistemas de información, esos sistemas
deben ser confiables. Para ser confiable frente a amenazas sofisticadas, los sistemas de información deben ser
utilizados de manera inteligente de acuerdo con el grado de protección y resiliencia alcanzado.
2.3.1 Gobernanza
En general,gobernanciaes el conjunto de responsabilidades y prácticas que ejercen los responsables de una
organización (por ejemplo, la junta directiva y la gerencia ejecutiva en una corporación, el jefe de una agencia
federal) con el objetivo expreso de: (i) proporcionar dirección estratégica; (ii) garantizar que se logren la misión
organizacional y los objetivos comerciales; (iii) asegurarse de que los riesgos se gestionen adecuadamente; y (iv)
verificar que los recursos de la organización se utilicen de manera responsable.21
Los riesgos y los recursos se pueden asociar con diferentes sectores organizacionales (por ejemplo, legal, finanzas,
tecnología de la información, cumplimiento normativo, seguridad de la información). Diferentes sectores requieren
experiencia especializada para gestionar los riesgos asociados con ese sector. Por lo tanto, la gobernanza dentro de las
organizaciones con frecuencia se organiza por sector.22Los cinco resultados de la gobernanza relacionados con la gestión
de riesgos en toda la organización son:
21Esta definición está adaptada del IT Governance Institute. El Chartered Institute of Management Accountants y la
22Si bien la gobernanza suele organizarse por sectores, a las organizaciones les conviene establecer un único enfoque de gobernanza
alineado. Un enfoque de gobernanza unificado puede coordinar las actividades de gobernanza del sector individual y proporcionar un
enfoque de gobernanza coherente en toda la organización.
CAPITULO 2 PÁGINA 11
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
• Alineación estratégica de las decisiones de gestión de riesgos con las misiones y funciones comerciales
consistentes con las metas y objetivos organizacionales;
• Ejecución de procesos de gestión de riesgos para enmarcar, evaluar, responder y monitorear el riesgo
de las operaciones y activos organizacionales, individuos, otras organizaciones y la Nación;
• Valor entregado mediante la optimización de las inversiones en gestión de riesgos en apoyo de los objetivos de la
organización.23
Como parte de la gobernanza de la organización, los líderes/ejecutivos senior, en consulta y colaboración con el
ejecutivo de riesgos (función), determinan: (i) los tipos de decisiones de gestión de riesgos que se reservan para
funciones específicas de liderazgo senior (p. ej., jefes de agencias o director ejecutivo). ejecutivos, directores
financieros, directores de información, directores de seguridad de la información);24(ii) los tipos de decisiones de
gestión de riesgos que se consideran de toda la organización y los tipos de decisiones que se pueden delegar a
organizaciones subordinadas o a otros roles en la organización (por ejemplo, ingenieros de sistemas y seguridad,
propietarios de misiones/negocios, arquitectos, arquitectos de seguridad de la información, proveedores de
infraestructura o servicios comunes, funcionarios autorizadores); y (iii) cómo las decisiones de gestión de riesgos
serán comunicadas al y por el ejecutivo de riesgos (función). En el Apéndice F se describen tres tipos diferentes de
modelos de gobierno (es decir, centralizado, descentralizado e híbrido). Independientemente del modelo o
modelos de gobierno empleados, la asignación clara y la responsabilidad por aceptar el riesgo son esenciales para
una gestión de riesgos eficaz.
Una gobernanza sólida es el mejor indicador del compromiso de los líderes sénior con una gestión de riesgos eficaz y
coherente en toda la organización para lograr el éxito continuo de la misión/negocio.
23Resultados de la gobernanza de la seguridad de la información adaptados deInstituto de Gobernanza de TI, Gobernanza de Seguridad de la
Información: Orientación para Juntas Directivas y Gerencia Ejecutiva, 2Dakota del NorteEdición, 2006.
24 No hay ninguna implicación al enumerar varios títulos dentro de una organización de cualquier relación particular (de pares o de
otro tipo) o líneas de autoridad.
25Aproveedor de control comúnes un funcionario organizacional responsable del desarrollo, implementación, evaluación y
monitoreo de controles comunes (es decir, controles de seguridad heredados por los sistemas de información).
CAPITULO 2 PAGINA 12
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
• Gestionar la información sobre amenazas y vulnerabilidades con respecto a los sistemas de información de
la organización y los entornos en los que operan los sistemas;
• Establecer foros en toda la organización para considerar todos los tipos y fuentes de riesgo (incluido el
riesgo agregado);
• Determinar el riesgo organizacional con base en el riesgo agregado de la operación y uso de los
sistemas de información y los respectivos ambientes de operación;
• Supervisar las actividades de gestión de riesgos llevadas a cabo por las organizaciones para garantizar
decisiones coherentes y eficaces basadas en riesgos;
• Desarrollar una mayor comprensión del riesgo con respecto a la visión estratégica de las organizaciones y sus
operaciones integradas;
• Establecer vehículos efectivos y servir como punto focal para comunicar y compartir información
relacionada con el riesgo entre las partes interesadas clave internas y externas a las organizaciones;
• Especificar el grado de autonomía para las organizaciones subordinadas permitidas por las
organizaciones matrices con respecto a enmarcar, evaluar, responder y monitorear el riesgo;27
• Promover la cooperación y la colaboración entre los funcionarios autorizadores para incluir acciones de autorización de
seguridad que requieran una responsabilidad compartida (por ejemplo, autorizaciones conjuntas/apalancadas);28
• Asegúrese de que las decisiones de autorización de seguridad consideren todos los factores necesarios para el éxito de
la misión y el negocio; y
• Asegúrese de que la responsabilidad compartida para respaldar las misiones organizacionales y las funciones comerciales
utilizando proveedores externos reciba la visibilidad necesaria y se eleve a las autoridades de toma de decisiones
correspondientes.
El ejecutivo de riesgos (función) no presupone una estructura organizativa específica ni una responsabilidad formal
asignada a ningún individuo o grupo dentro de la organización. Los jefes de agencias u organizaciones pueden optar por
retener la (función) ejecutiva de riesgos o delegar la función. El ejecutivo de riesgos (función) requiere una combinación
de habilidades, experiencia y perspectivas para comprender las metas y objetivos estratégicos de las organizaciones, las
misiones organizacionales/funciones comerciales, las posibilidades técnicas y las limitaciones, y los mandatos clave y la
orientación que dan forma a las operaciones organizacionales. Para proporcionar esta combinación necesaria, el
ejecutivo de riesgo (función) puede estar a cargo de una sola persona u oficina (con el apoyo de un personal experto) o
de un grupo designado (p. ej., una junta de riesgo,
26 Las decisiones de riesgo organizacional incluyen decisiones de inversión (ver Sección 2.3.4). Organizativotolerancia al riesgose
determina como parte del componente de marco de riesgo (consulte la Sección 2.3.3) y se define en la estrategia de gestión de riesgos.
27 Debido a que las organizaciones subordinadas responsables de llevar a cabo misiones derivadas o relacionadas pueden haber invertido ya
en sus propios métodos para enmarcar, evaluar, responder y monitorear el riesgo, las organizaciones matrices pueden permitir un mayor
grado de autonomía dentro de partes de la organización o en toda la organización. con el fin de minimizar los costos. Cuando se permite
una diversidad de actividades de gestión de riesgos, las organizaciones pueden optar por emplear, cuando sea factible, algún medio de
traducción y/o síntesis de la información relacionada con el riesgo producida a partir de esas actividades para garantizar que el resultado de
las diferentes actividades se pueda correlacionar en una manera significativa.
28La publicación especial NIST 800-37 brinda orientación sobre autorizaciones conjuntas y apalancadas.
CAPITULO 2 PÁGINA 13
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
comité directivo ejecutivo, consejo de liderazgo ejecutivo).29El ejecutivo de riesgo (función) encaja en la estructura
de gobierno organizacional de tal manera que facilita la eficiencia y maximiza la eficacia. Si bien el alcance de toda
la organización sitúa al ejecutivo de riesgos (función) en el Nivel 1, su rol implica comunicaciones continuas y
supervisión de las actividades de gestión de riesgos de los propietarios de la misión/negocio, los funcionarios
autorizadores, los propietarios del sistema de información, los proveedores de control común, los directores de
información. , directores de seguridad de la información, ingenieros de seguridad y sistemas de información,
gerentes/oficiales de seguridad de sistemas de información y otras partes interesadas en los niveles 2 y 3.
Para ser efectivos, los programas de gestión de riesgos de toda la organización requieren un fuerte compromiso,
participación directa y apoyo continuo de los líderes/ejecutivos senior. El objetivo es institucionalizar la gestión de
riesgos en las operaciones diarias de las organizaciones como una prioridad y una parte integral de cómo las
organizaciones realizan operaciones en el ciberespacio, reconociendo que esto es esencial para llevar a cabo con
éxito las misiones en entornos operativos cargados de amenazas. .
Una importante actividad de gestión de riesgos de Nivel 1 y también parte del marco de riesgo, es la determinación de
tolerancia al riesgo. La tolerancia al riesgo es el nivel de riesgo o grado de incertidumbre que es aceptable para las
organizaciones y es un elemento clave del marco de riesgo organizacional. La tolerancia al riesgo afecta a todos los
componentes del proceso de gestión de riesgos, lo que tiene un impacto directo en las decisiones de gestión de riesgos
que toman los líderes/ejecutivos sénior en toda la organización y proporciona limitaciones importantes a esas decisiones.
Por ejemplo, la tolerancia al riesgo afecta la naturaleza y el alcance de la supervisión de la gestión de riesgos
implementada en las organizaciones, el alcance y el rigor de las evaluaciones de riesgos realizadas y el contenido de las
estrategias organizacionales para responder al riesgo. Con respecto a las evaluaciones de riesgo, Es posible que las
organizaciones más tolerantes al riesgo se preocupen solo por aquellas amenazas que han experimentado
organizaciones similares, mientras que las organizaciones menos tolerantes al riesgo pueden ampliar la lista para incluir
aquellas amenazas que son teóricamente posibles, pero que no se han observado en los entornos operativos. Con
respecto a la respuesta al riesgo, es probable que las organizaciones menos tolerantes al riesgo
29Las organizaciones enfatizan la necesidad de inclusión dentro del ejecutivo de riesgos (función) por parte de los líderes/ejecutivos senior en las áreas
de misión/negocios para ayudar a garantizar una adecuada planificación, recursos y gestión de riesgos de la seguridad de la información.
CAPITULO 2 PÁGINA 14
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
exigir motivos adicionales para confiar en la eficacia de salvaguardias y contramedidas seleccionadas o preferir
salvaguardias y contramedidas más maduras y con un historial probado. Dichas organizaciones también pueden
decidir emplear múltiples salvaguardas y contramedidas de múltiples fuentes (por ejemplo, software antivirus en
clientes y servidores proporcionados por diferentes proveedores). Otro ejemplo que ilustra el impacto de la
tolerancia al riesgo en la respuesta al riesgo es que la tolerancia al riesgo también puede afectar los requisitos
organizacionales de confiabilidad proporcionados por tecnologías de la información específicas. Dos
organizaciones pueden elegir las mismas tecnologías de la información, pero su grado relativo de tolerancia al
riesgo puede afectar el grado de evaluación requerido antes de la implementación.
Existe una gran variación en la naturaleza de las amenazas potenciales a las que se enfrentan las organizaciones, que van desde piratas informáticos
que simplemente intentan desfigurar los sitios web de la organización (p. ej., vandalismo cibernético) hasta ataques internos.
30Las estrategias de inversión pueden incluir enfoques organizacionales para: (i) reemplazar los sistemas de información heredados (p. ej.,
incorporar elementos gradualmente, reemplazarlos por completo); (ii) tercerizar y utilizar proveedores externos de sistemas y servicios de
información; y (iii) desarrollo interno vs. adquisición de productos de tecnología de la información comercialmente disponibles.
CAPITULO 2 PÁGINA 15
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
amenazas, a grupos terroristas sofisticados / empresas criminales organizadas que buscan exfiltrar información
confidencial, a las fuerzas armadas de un estado nacional que intentan destruir o interrumpir misiones críticas atacando
los sistemas de información organizacionales.31Las inversiones estratégicas requeridas para abordar el riesgo de
adversarios más tradicionales (p. ej., piratas informáticos que realizan actividades en grupos pequeños con capacidades
limitadas) son considerablemente diferentes de las inversiones requeridas para abordar el riesgo asociado con amenazas
persistentes avanzadas consistentes con adversarios más avanzados (p. ej., naciones estados o grupos terroristas con
niveles altamente sofisticados de experiencia y recursos que buscan establecer puntos de apoyo permanentes en
organizaciones con el propósito de obstaculizar aspectos de las misiones organizacionales). Para hacer frente a las
amenazas menos sofisticadas, las organizaciones pueden centrar sus esfuerzos en el Nivel 3: invertir para garantizar que
se obtengan las medidas de seguridad y las contramedidas necesarias (por ejemplo, controles de seguridad, servicios de
seguridad y tecnologías), que se implementen correctamente y que funcionen según lo previsto. y producir el efecto
deseado con respecto al cumplimiento de las políticas de seguridad de la información y el tratamiento de las
vulnerabilidades conocidas. Además de estas inversiones básicas, las organizaciones también pueden invertir en procesos
de monitoreo continuo para garantizar que los controles, servicios y tecnologías de seguridad adquiridos funcionen de
manera efectiva durante todo el ciclo de vida del desarrollo del sistema.
Cuando las organizaciones necesitan abordar amenazas persistentes avanzadas, es probable que abordar adecuadamente
los riesgos relacionados en el Nivel 3 no sea factible porque las soluciones de seguridad necesarias no están actualmente
disponibles en el mercado comercial. En esos casos, las organizaciones deben invertir deliberadamente más allá del Nivel
3 para obtener capacidades de respuesta significativas en el Nivel 2 y, en cierta medida, en el Nivel 1. En el Nivel 3, es
probable que la naturaleza de la inversión cambie de la implementación de soluciones existentes a un enfoque estratégico
adicional en invertir en tecnologías de seguridad de la información de vanguardia (esencialmente experimentar con
soluciones/tecnologías de seguridad innovadoras y ser uno de los primeros en adoptarlas) o invertir en esfuerzos de
investigación y desarrollo de seguridad de la información para abordar brechas tecnológicas específicas.32Las inversiones
en seguridad de la información para hacer frente a amenazas persistentes avanzadas pueden requerir gastos en el
transcurso de varios años, a medida que las nuevas soluciones y tecnologías de seguridad pasan de la investigación al
desarrollo y al despliegue completo. La visión a largo plazo de la inversión estratégica en las necesidades de respuesta al
riesgo de las organizaciones puede ayudar a reducir el enfoque continuo en las vulnerabilidades a corto plazo
descubiertas en los sistemas de información, vulnerabilidades que existen debido a la complejidad de los productos y
sistemas de tecnología de la información y las debilidades inherentes. en esos productos y sistemas.
La capacidad de las organizaciones para proporcionar inversiones estratégicas en seguridad de la información es limitada.
Cuando el financiamiento de la inversión estratégica deseada o los recursos estratégicos33no están disponibles para abordar
necesidades específicas, las organizaciones pueden verse obligadas a hacer concesiones. Por ejemplo, las organizaciones
pueden extender el marco de tiempo requerido para lograr los objetivos estratégicos de seguridad de la información.
Alternativamente, las organizaciones pueden priorizar las inversiones en gestión de riesgos, optando por proporcionar recursos
(financieros o de otro tipo) para abordar algunas necesidades estratégicas críticas antes que otras necesidades menos críticas.
Todas las decisiones de inversión requieren que las organizaciones prioricen los riesgos y evalúen los impactos potenciales
asociados con los cursos de acción alternativos.
31Las amenazas descritas anteriormente son un subconjunto del espacio general de amenazas que también incluye errores de omisión
y comisión, desastres naturales y accidentes.
32Esta estrategia de inversión es un cambio de la gestión de vulnerabilidades y parches a una estrategia a más largo plazo que aborda las
brechas de seguridad de la información, como la falta de productos de tecnología de la información con la confiabilidad necesaria para
lograr la resiliencia del sistema de información frente a amenazas persistentes avanzadas.
33En algunos casos, las limitaciones pueden no ser de naturaleza financiera, sino limitaciones en la cantidad de personas con las habilidades/
experiencia adecuadas o limitaciones relacionadas con el estado de la tecnología.
CAPITULO 2 PÁGINA 16
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Las actividades de gestión de riesgos en el Nivel 2 comienzan con la identificación y establecimiento demisión consciente
del riesgo/procesos comercialespara apoyar las misiones de la organización y las funciones comerciales. Una misión/
proceso comercial consciente del riesgo es aquel que tiene en cuenta explícitamente el riesgo probable que tal proceso
causaría si se implementara. Los procesos conscientes del riesgo están diseñados para gestionar el riesgo de acuerdo con
la estrategia de gestión de riesgo definida en el Nivel 1 y explícitamente tienen en cuenta el riesgo al evaluar la misión/las
actividades comerciales y las decisiones en el Nivel 2.34La implementación de la misión/procesos comerciales de gestión de
riesgos requiere una comprensión profunda de las misiones organizacionales y las funciones comerciales y las relaciones
entre las misiones/funciones comerciales y los procesos de apoyo. Esta comprensión es un requisito previo para construir
procesos de misión/negocios lo suficientemente resistentes para soportar una amplia variedad de amenazas, incluidos
ciberataques rutinarios y sofisticados, errores/accidentes y desastres naturales. Una parte importante para lograr
procesos conscientes del riesgo es la comprensión de los líderes/ejecutivos senior de: (i) los tipos de fuentes de amenazas
y eventos de amenazas que pueden afectar negativamente la capacidad de las organizaciones para ejecutar con éxito sus
misiones/funciones comerciales); (ii) los posibles impactos/consecuencias adversas en las operaciones y los activos de la
organización, las personas, otras organizaciones, o la Nación si se compromete la confidencialidad, integridad o
disponibilidad de la información o los sistemas de información utilizados en una misión/proceso comercial; y (iii) la
resiliencia probable a tal compromiso que se puede lograr con una determinada definición de misión/proceso de negocio,
aplicando expectativas realistas para la resiliencia de la tecnología de la información.
34La identificación de la misión organizacional/procesos comerciales incluye definir los tipos de información que la
organización necesita para ejecutar con éxito esos procesos, la criticidad y/o sensibilidad de la información, y la
información fluye tanto interna como externamente a la organización.
CAPITULO 2 PÁGINA 17
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
La arquitectura empresarial es una práctica de gestión empleada por las organizaciones para maximizar la eficacia
de los procesos de misión/negocio y los recursos de información para ayudar a lograr el éxito de la misión/negocio.
La arquitectura empresarial establece una conexión clara e inequívoca entre las inversiones (incluidas las
inversiones en seguridad de la información) y las mejoras de rendimiento medibles, ya sea para toda la
organización o parte de ella. La arquitectura empresarial también brinda la oportunidad de estandarizar,
consolidar y optimizar los activos de tecnología de la información. Estas actividades finalmente producen sistemas
de información que son más transparentes y, por lo tanto, más fáciles de comprender y proteger. Además de
establecer una hoja de ruta para un uso más eficiente y rentable de la tecnología de la información en todas las
organizaciones, La arquitectura empresarial proporciona un lenguaje común para analizar los problemas de
gestión de riesgos relacionados con las misiones, los procesos comerciales y los objetivos de rendimiento, lo que
permite una mejor coordinación e integración de los esfuerzos y las inversiones a través de los límites de la
actividad comercial y organizacional. Una arquitectura empresarial bien diseñada, implementada en toda la
organización, promueve capacidades de seguridad de la información más eficientes, rentables, consistentes e
interoperables para ayudar a las organizaciones a proteger mejor las misiones y las funciones comerciales y, en
última instancia, administrar el riesgo de manera más efectiva.
Las organizaciones aplican los conceptos de FEA que definen los procesos comerciales basados en el rendimiento y basados
en las necesidades, reconociendo que la gestión eficaz del riesgo que surge de operar en un entorno del ciberespacio con
amenazas sofisticadas y de alto nivel es una necesidad clave y una medida del rendimiento.
36La Arquitectura Empresarial Federal se describe en una serie de documentos publicados por la Oficina de Gestión del Programa OMB
FEA. Se puede encontrar información adicional sobre los modelos de referencia de FEA y las arquitecturas de segmento y solución en el
Documento de modelo de referencia consolidado de FEA y la Guía práctica de FEA, respectivamente.
CAPITULO 2 PÁGINA 18
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Finalmente, el concepto de punto único de falla y la eliminación de dichos puntos de falla es fácilmente compatible
con la arquitectura empresarial. Tener la visibilidad y la transparencia esenciales provistas en el diseño
arquitectónico a nivel de organización expone posibles puntos únicos de falla al principio del proceso de
desarrollo. Por lo tanto, los puntos únicos de falla se abordan de manera efectiva mediante arquitecturas de
segmento y solución. Si no se abordan los posibles puntos únicos de falla al principio del diseño arquitectónico, se
pueden producir efectos graves o catastróficos cuando esos puntos de falla se propagan a los sistemas de
información y la falla real provoca una pérdida de la misión/capacidad empresarial.
37En general, existe una versión de una arquitectura de seguridad de la información para cada una de las arquitecturas empresariales.
modelos de referencia;incluyendo rendimiento, negocio, componente de servicio, datos y técnico.
38Las organizaciones emplean principios y técnicas sólidos de ingeniería de sistemas y seguridad para garantizar que los requisitos de seguridad de
la información se implementen de manera efectiva en los sistemas de información de la organización.
CAPITULO 2 PÁGINA 19
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
INFORMA INFORMA
ARQUITECTURA EMPRESARIAL
(Modelos de referencia, Arquitectura de segmento, Arquitectura de solución)
INFORMA INFORMA
Ambientes de Operación
Para resumir, las consideraciones de gestión de riesgos pueden abordarse como parte integral de la arquitectura
empresarial mediante:
• Desarrollar una arquitectura de segmento vinculada a las metas y objetivos estratégicos de las
organizaciones, misiones definidas/funciones comerciales y misión/procesos comerciales
asociados;
• Identificar dónde la respuesta efectiva al riesgo es un elemento crítico en el éxito de las misiones
organizacionales y las funciones comerciales;
• Definir los requisitos de seguridad de la información apropiados a nivel de arquitectura dentro de los segmentos
definidos por la organización en función de la estrategia de gestión de riesgos de la organización;
39La asignación de control de seguridad ocurre hasta el nivel de componente del sistema de información, empleando controles de seguridad en
componentes de sistema seleccionados asignados para proporcionar una capacidad de seguridad específica. En el Perfil de seguridad y privacidad de
FEA se proporciona orientación específica sobre cómo incorporar los requisitos de seguridad de la información en la arquitectura empresarial.
CAPITULO 2 PÁGINA 20
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
• Traducir los requisitos de seguridad de la información de la arquitectura del segmento en controles de seguridad
específicos para los sistemas de información/entornos de operación como parte de la arquitectura de la solución;
• Documentar las decisiones de gestión de riesgos en todos los niveles de la arquitectura empresarial.40
El uso de la arquitectura empresarial puede mejorar en gran medida la postura de riesgo de una organización al
proporcionar una mayor transparencia y claridad en las actividades de diseño y desarrollo, lo que permite una
aplicación más consistente del principio de 'uso inteligente' de las tecnologías en toda la organización; optimizar las
compensaciones entre el valor obtenido y el riesgo de que se incurra a través de los sistemas de información que
respaldan las misiones organizacionales / funciones comerciales.
Todos los sistemas de información, incluidos los sistemas operativos, los sistemas en desarrollo y los sistemas en proceso
de modificación, se encuentran en alguna fase del ciclo de vida del desarrollo del sistema.42Además de las actividades de
gestión de riesgos llevadas a cabo en el Nivel 1 y el Nivel 2 (p. ej., reflejando la estrategia de gestión de riesgos de la
organización dentro de la arquitectura empresarial y la arquitectura de seguridad de la información integrada), las
actividades de gestión de riesgos también se integran en el ciclo de vida de desarrollo del sistema de información
organizacional. sistemas en el Nivel 3. Las actividades de gestión de riesgos en el Nivel 3 reflejan la estrategia de gestión
de riesgos de la organización y cualquier riesgo relacionado con los requisitos de costo, cronograma y desempeño para
los sistemas de información individuales que respaldan la misión/funciones comerciales de las organizaciones. Las
actividades de gestión de riesgos tienen lugar en cada fase del ciclo de vida del desarrollo del sistema y los resultados de
cada fase tienen un efecto en las fases posteriores.
40Las actividades requeridas para incorporar de manera efectiva la seguridad de la información en la arquitectura empresarial las llevan a cabo las
partes interesadas clave dentro de las organizaciones, incluidos los propietarios de la misión/negocio, los directores de información, los directores de
seguridad de la información, los funcionarios autorizados y el ejecutivo de riesgo (función).
41Un proceso de gestión es un proceso para planificar y controlar el desempeño o la ejecución de las actividades de la
organización (por ejemplo, programas, proyectos, tareas, procesos). Los procesos de gestión a menudo se denominan
sistemas de gestión y medición del desempeño.
42Por lo general, hay cinco fases en los ciclos de vida del desarrollo del sistema: (i)iniciación; (ii)desarrollo / adquisición; (iii) implementación;
(iv)Operación y mantenimiento; y V)disposición. Las organizaciones pueden usar una variedad de procesos de ciclo de vida de desarrollo de
sistemas que incluyen, por ejemplo, desarrollo en cascada, en espiral o ágil.
CAPITULO 2 PÁGINA 21
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Por ejemplo, la definición de requisitos43es una parte crítica de cualquier proceso de desarrollo de sistemas y
comienza muy temprano en el ciclo de vida, típicamente en eliniciaciónfase. La información más reciente sobre
amenazas que está disponible para las organizaciones, o los supuestos organizacionales actuales con respecto a
las amenazas, pueden influir significativamente en los requisitos del sistema de información y los tipos de
soluciones que las organizaciones consideran aceptables (desde una perspectiva tecnológica y operativa) frente a
tales amenazas. . Los requisitos de seguridad de la información son un subconjunto de los requisitos funcionales
impuestos a los sistemas de información y se incorporan al ciclo de vida del desarrollo del sistema
simultáneamente con los demás requisitos. Los requisitos de seguridad de la información definen la funcionalidad
de seguridad necesaria44para los sistemas de información y el nivel de confiabilidad para esa funcionalidad (ver la
Sección 2.6 sobre la confiabilidad de los sistemas de información).
Las organizaciones también abordan cuestiones de gestión de riesgos durante ladesarrollo / adquisiciónfase del ciclo de
vida del desarrollo del sistema (por ejemplo, diseño del sistema, desarrollo/integración del sistema y demostración). Ya
sea en respuesta a información de amenaza específica y creíble o suposiciones sobre la amenaza, las vulnerabilidades
potenciales relacionadas con el diseño en los sistemas de información organizacionales pueden mitigarse durante esta
fase eligiendo alternativas menos susceptibles. El riesgo de la cadena de suministro durante la fase de adquisición del
sistema de información también es un área de preocupación para las organizaciones. Para abordar el riesgo de la cadena
de suministro durante la fase de desarrollo/adquisición, las organizaciones implementan controles de seguridad
específicos según lo considere necesario la organización. Las organizaciones también consideran el riesgo desde el punto
de vista del entorno en el que se pretende que operen los sistemas de información al seleccionar los controles de
seguridad más apropiados. Ser efectivo, los controles deben apoyarse mutuamente, emplearse con expectativas realistas
de eficacia e implementarse como parte de una arquitectura de seguridad explícita a nivel del sistema de información que
sea coherente con la arquitectura de seguridad integrada en la arquitectura empresarial de la organización. Por ejemplo,
cuando ciertos controles técnicos son menos que efectivos debido a los niveles alcanzables de confiabilidad en los
sistemas de información de la organización, los controles operativos y de gestión se emplean como controles de
compensación, brindando así otra oportunidad para administrar el riesgo.
Después de la iniciación, el desarrollo y la adquisición, elimplementaciónLa fase del ciclo de vida del desarrollo del
sistema brinda una oportunidad para que la organización determine la efectividad de los controles de seguridad
seleccionados empleados dentro o heredados por los sistemas de información en desarrollo antes del comienzo de
las operaciones reales. Las expectativas generadas durante esta fase se pueden comparar con el comportamiento
real a medida que se implementan los sistemas de información. Dada la información actual sobre amenazas que
está disponible para las organizaciones y los supuestos organizacionales sobre la amenaza, la información
descubierta durante las evaluaciones de efectividad y los posibles impactos adversos en las misiones/funciones
comerciales de la organización, puede ser necesario modificar o cambiar la implementación planificada de la
información. sistema. Se puede desarrollar información relacionada con el riesgo para justificar los cambios
propuestos.
Una vez aprobados para su operación, los sistemas de información pasan a laoperaciones / mantenimientofase del ciclo de
vida de desarrollo del sistema. El seguimiento de la eficacia del control de seguridad y cualquier cambio en los sistemas de
información de la organización y los entornos en los que operan esos sistemas garantizan que las medidas de respuesta a
los riesgos seleccionadas funcionen según lo previsto de forma continua. El monitoreo continuo es fundamental para
mantener la conciencia situacional del riesgo para las misiones organizacionales y las funciones comerciales, una
conciencia que es fundamental para tomar el rumbo necesario.
43Los requisitos de seguridad de la información se pueden obtener de una variedad de fuentes (p. ej., legislación, políticas, directivas,
reglamentos, estándares y requisitos de misión/negocio/operativos de la organización).
44La funcionalidad de seguridad es el conjunto de controles de seguridad empleados dentro o heredados por un sistema de información
o el entorno en el que opera el sistema. Los controles de seguridad, descritos en la Publicación Especial NIST 800-53, son implementados
por una combinación de personas, procesos y tecnologías.
CAPITULO 2 PÁGINA 22
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
correcciones cuando el riesgo excede la tolerancia al riesgo organizacional. Durante eldisposiciónfase del ciclo de vida del
desarrollo del sistema, es un procedimiento estándar para que las organizaciones eliminen de manera verificable antes de su
eliminación, cualquier información de los sistemas de información que pueda causar impactos adversos, si se ven
comprometidos, y también evaluar cualquier riesgo asociado con estas actividades.45
La integración temprana de los requisitos de seguridad de la información en el ciclo de vida del desarrollo
del sistema es el método más rentable para implementar la estrategia de gestión de riesgos de la
organización en el Nivel 3.46La incorporación de la gestión de riesgos en el ciclo de vida del desarrollo del
sistema garantiza que el proceso de gestión de riesgos no esté aislado de los demás procesos de gestión
empleados por la organización para desarrollar, adquirir, implementar, operar y mantener los sistemas de
información que respaldan las misiones organizacionales y las funciones comerciales. Para respaldar la
integración del ciclo de vida del desarrollo del sistema, la gestión de riesgos (incluidas las consideraciones
de seguridad de la información) también se incorpora en las actividades de programación, planificación y
presupuestación para ayudar a garantizar que los recursos apropiados estén disponibles cuando sea
necesario, lo que facilita la finalización de los hitos de programas y proyectos establecidos por las
organizaciones. . Incorporar la gestión de riesgos en las actividades de programación, planificación y
presupuestación,
El generalResilienciade los sistemas de información de la organización (es decir, qué tan bien funcionan los sistemas bajo
estrés) es un factor clave y una medida de desempeño para determinar la capacidad de supervivencia potencial de las
misiones/funciones comerciales. El uso de ciertas tecnologías de la información puede introducir vulnerabilidades
inherentes en estos sistemas de información, lo que genera un riesgo que puede tener que mitigarse mediante la
reingeniería de la misión/procesos comerciales actuales. Eluso inteligentede las tecnologías de la información durante el
diseño, desarrollo e implementación de los sistemas de información de la organización es de suma importancia en la
gestión de riesgos.
Hacer que los requisitos y actividades relacionados con la seguridad de la información sean una parte integral del ciclo de vida
del desarrollo del sistema garantiza que los líderes/ejecutivos senior consideren los riesgos para las operaciones y los activos de
la organización, las personas, otras organizaciones y la Nación que resultan de la operación y el uso de los sistemas de
información y tomar las medidas apropiadas para ejercer la debida diligencia de la organización.
45Si bien la presentación del ciclo de vida del desarrollo del sistema se expresa como un flujo lineal, en realidad, el conocimiento obtenido
durante una fase posterior del ciclo de vida o los cambios en los requisitos del sistema o los entornos operativos pueden dictar la revisión de
una fase anterior. Por ejemplo, los cambios en el entorno de amenazas durante la fase de operación/mantenimiento pueden dictar la
necesidad de iniciar una capacidad del sistema nueva o revisada.
46El marco de gestión de riesgos (RMF), descrito en la publicación especial 800-37 del NIST, proporciona un proceso estructurado que integra
las actividades de gestión de riesgos en el ciclo de vida del desarrollo del sistema. La RMF opera principalmente en el Nivel 3, pero también
interactúa con los Niveles 1 y 2 (p. ej., brinda retroalimentación de las decisiones de autorización al ejecutivo de riesgos [función], difunde
información actualizada sobre riesgos a los funcionarios autorizadores, proveedores de control común y propietarios del sistema de
información).
CAPITULO 2 PÁGINA 23
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
considera cómo se puede medir la confianza. La importancia del gobierno organizacional, la cultura y la
transparencia47también se consideran con respecto a la confianza y su efecto en la gestión de riesgos.
La confianza es la creencia de que una entidad se comportará de manera predecible en circunstancias específicas. La
entidad puede ser una persona, un proceso, un objeto o cualquier combinación de dichos componentes. La entidad puede
ser de cualquier tamaño, desde un solo componente de hardware o módulo de software hasta un equipo identificado por
marca y modelo, un sitio o ubicación, una organización o un estado-nación. La confianza, si bien es inherentemente una
determinación subjetiva, puede basarse en pruebas objetivas y elementos subjetivos. Los motivos objetivos para la
confianza pueden incluir, por ejemplo, los resultados de las pruebas y evaluaciones de productos de tecnología de la
información. La creencia subjetiva, el nivel de comodidad y la experiencia pueden complementar (o incluso reemplazar) la
evidencia objetiva, o sustituir dicha evidencia cuando no está disponible. La confianza suele ser relativa a una circunstancia
o situación específica (por ejemplo, la cantidad de dinero involucrada en una transacción, la sensibilidad o criticidad de la
información, o si la seguridad es un problema con vidas humanas en juego). La confianza generalmente no es transitiva (p.
ej., confías en un amigo pero no necesariamente en el amigo de un amigo). Finalmente, la confianza generalmente se
gana, con base en la experiencia o la medición. Sin embargo, en ciertas organizaciones, la confianza puede ser obligatoria
por política (consulte el Apéndice G,modelo de confianza obligatorio).
Integridades un atributo de una persona u organización que brinda confianza a otros sobre las calificaciones,
capacidades y confiabilidad de esa entidad para realizar tareas específicas y cumplir con las responsabilidades
asignadas. La confiabilidad también es una característica de los productos y sistemas de tecnología de la
información (consulte la Sección 2.6.2 sobreconfiabilidad de los sistemas de información). El atributo de
confiabilidad, ya sea que se aplique a personas, procesos o tecnologías, se puede medir, al menos en términos
relativos, si no cuantitativamente.48La determinación de la confiabilidad juega un papel clave en el establecimiento
de relaciones de confianza entre personas y organizaciones. Las relaciones de confianza son factores clave en las
decisiones de riesgo que toman los líderes/ejecutivos senior.
Las partes entablan relaciones de confianza basadas en la misión y las necesidades comerciales.49La confianza entre las
partes generalmente existe a lo largo de un continuo con diversos grados de confianza logrados en función de una serie
de factores. Las organizaciones aún pueden compartir información y obtener servicios de tecnología de la información
incluso si su relación de confianza no alcanza la confianza total. El grado de confianza requerido para que las
organizaciones establezcan asociaciones puede variar ampliamente en función de muchos factores, incluidas las
organizaciones involucradas y los detalles de la situación (p. ej., las misiones, metas y objetivos de los socios potenciales, la
criticidad/sensibilidad de las actividades involucradas en la asociación, la tolerancia al riesgo de las organizaciones que
participan en la asociación y la relación histórica entre los participantes). Finalmente, el grado de confianza entre las
entidades no es una cualidad estática sino que puede variar con el tiempo a medida que cambian las circunstancias.
47Transparenciase logra proporcionandovisibilidaden las actividades de gestión de riesgos y seguridad de la información llevadas a cabo por
organizaciones que participan en asociaciones (p. ej., empleando estándares de seguridad comunes, lenguaje de especificación para controles de
seguridad, incluidos controles comunes, procedimientos de evaluación, metodologías de evaluación de riesgos; definiendo artefactos comunes y
cuerpos de evidencia utilizados para tomar decisiones de riesgo). -decisiones relacionadas).
48Estado actual de la práctica para medirintegridadpuede diferenciar de manera confiable entre niveles muy diferentes de
confiabilidad y es capaz de producir una escala de confiabilidad que es jerárquica entre instancias similares de actividades de
medición (por ejemplo, los resultados de las evaluaciones ISO / IEC 15408 [Common Criteria]).
49Las relaciones de confianza pueden: (i) establecerse formalmente, por ejemplo, documentando la información relacionada con la
confianza en contratos, acuerdos de nivel de servicio, declaraciones de trabajo, memorandos de acuerdo/entendimiento o acuerdos de
seguridad de interconexión; (ii) de naturaleza escalable e interorganizacional o intraorganizacional; y/o (iii) representado por relaciones
simples (bilaterales) entre dos socios o relaciones más complejas de muchos a muchos entre muchos socios diversos.
CAPITULO 2 PÁGINA 24
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Las organizaciones dependen cada vez más de los servicios de sistemas de información50e información
proporcionada por organizaciones externas, así como asociaciones para cumplir misiones y funciones comerciales.
Esta dependencia se traduce en la necesidad derelaciones de confianzaentre organizaciones.51En muchos casos, las
relaciones de confianza con organizaciones externas, si bien generan una mayor productividad y rentabilidad,
también pueden generar un mayor riesgo para las organizaciones. Este riesgo es abordado por las estrategias de
gestión de riesgos establecidas por las organizaciones que tienen en cuenta las metas y objetivos estratégicos de
las organizaciones.
Abordar de manera efectiva el riesgo asociado con la creciente dependencia de proveedores de servicios
externos y asociaciones con participantes del sector público y privado nacionales e internacionales requiere que
las organizaciones:
• Definir los tipos de servicios/información que se brindarán a las organizaciones o los tipos de
información que se compartirán/intercambiarán en cualquier acuerdo de asociación propuesto;
• Establecer el grado de control o influencia que tienen las organizaciones sobre las
organizaciones externas que participan en dichos acuerdos de asociación;
• Describir cómo se protegerán los servicios/la información de acuerdo con los requisitos de seguridad
de la información de las organizaciones;
• Equilibrar adecuadamente los requisitos basados en la misión/negocio para respaldar el intercambio de información
mientras se considera el riesgo de trabajar con entidades competidoras u hostiles y el riesgo de que otras
organizaciones, aunque no sean competidoras ni hostiles, puedan ser un camino a través del cual dichas entidades
ataquen;
• Determinar si el riesgo continuo para las operaciones y los activos de la organización, las personas, otras
organizaciones o la Nación como resultado del uso continuo de los servicios/información o la participación
en la asociación se encuentra en un nivel aceptable; y
• Reconocer que las decisiones de establecer relaciones de confianza son expresiones de riesgo aceptable.
El grado de confianza que una organización deposita en organizaciones externas puede variar
ampliamente, desde aquellos en los que se confía mucho (por ejemplo, socios comerciales en una
empresa conjunta que comparten un modelo de negocio común y metas comunes) hasta aquellos en
los que se confía menos y que pueden representar mayores fuentes de riesgo (por ejemplo, socios
comerciales en un esfuerzo que también son competidores o adversarios). Los detalles de establecer
y mantener la confianza pueden diferir de una organización a otra en función de los requisitos de la
misión/negocio, los participantes involucrados en la relación de confianza, la criticidad/sensibilidad
de la información que se comparte o los tipos de servicios que se prestan, la historia entre las
organizaciones , y el riesgo general para las organizaciones que participan en la relación.
En muchas situaciones, la confianza establecida entre organizaciones puede no permitir un espectro completo de
intercambio de información o una provisión completa de servicios. Cuando una organización determina que
50Los servicios de sistemas de información externos son servicios que se implementan fuera del límite de autorización tradicional del sistema
(es decir, servicios que son utilizados por el sistema de información de la organización, pero que no forman parte de él).
51Los proveedores externos o socios comerciales/de misión pueden ser entidades del sector público o privado, nacionales o internacionales.
CAPITULO 2 PÁGINA 25
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
La comprensión y aceptación explícitas del riesgo para las operaciones y los activos de una organización, las
personas, otras organizaciones y la Nación por parte de los líderes/ejecutivos superiores (que reflejan la
tolerancia al riesgo de la organización) se hacen de acuerdo con la estrategia de gestión de riesgos de la
organización y un requisito previo para establecer la confianza. relaciones entre organizaciones.
• Funcionalidad de seguridad(es decir, las características/funciones de seguridad empleadas dentro del sistema); y
• garantía de seguridad(es decir, los motivos para confiar en que la funcionalidad de seguridad es efectiva en
su aplicación).52
El aseguramiento de la seguridad es un aspecto crítico para determinar la confiabilidad de los sistemas de información.
La garantía es la medida de confianza de que las características, prácticas, procedimientos y arquitectura de seguridad
de un sistema de información median y hacen cumplir con precisión la política de seguridad.54
La seguridad se obtiene mediante: (i) las acciones tomadas por los desarrolladores e implementadores55con
respecto al diseño, desarrollo, implementación y operación de la funcionalidad de seguridad (es decir, controles
de seguridad); y (ii) las acciones tomadas por los evaluadores para determinar hasta qué punto la funcionalidad se
implementa correctamente, opera según lo previsto y produce el resultado deseado.
52La seguridad también representa la base para confiar en que la funcionalidad prevista de un sistema de información es correcta,
siempre se invoca (cuando es necesario) y es resistente a la omisión o manipulación.
53El empleo de controles de seguridad apropiados para los sistemas de información y los entornos de operación se guía por los
primeros tres pasos en el marco de gestión de riesgos (es decir, categorización, selección e implementación).
54A politica de seguridades un conjunto de criterios para la prestación de los servicios de seguridad.
55En este contexto, un desarrollador/implementador es una persona o grupo de personas responsables del diseño, desarrollo,
CAPITULO 2 PÁGINA 26
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
con respecto al cumplimiento de los requisitos de seguridad de los sistemas de información y sus entornos de operación.
56 Los desarrolladores e implementadores pueden aumentar la garantía en la funcionalidad de seguridad mediante el
empleo de políticas y modelos de políticas de seguridad bien definidos, técnicas de desarrollo de software y hardware
estructuradas y rigurosas, y principios sólidos de ingeniería de sistemas/seguridad.
Se espera que los productos y sistemas de tecnología de la información que muestren un mayor grado de confiabilidad (es
decir, productos/sistemas que tengan la funcionalidad y la garantía adecuadas) muestren una tasa más baja de fallas
latentes de diseño e implementación y un mayor grado de resistencia a la penetración contra una variedad de amenazas,
incluidas amenazas sofisticadas. ataques cibernéticos, desastres naturales, accidentes y errores intencionales / no
intencionales. La susceptibilidad de las misiones/funciones comerciales de las organizaciones a las amenazas conocidas,
los entornos de operación donde se implementan los sistemas de información y el nivel máximo aceptable de riesgo para
las operaciones y los activos de la organización, las personas, otras organizaciones o la Nación, guían el grado de
confiabilidad. necesario.
La confiabilidad es un factor clave en la selección y el uso inteligente de los productos de tecnología de la información
utilizados en los sistemas de información organizacionales. La atención insuficiente a la confiabilidad de los productos y
sistemas de tecnología de la información puede afectar negativamente la capacidad de una organización para llevar a cabo con
éxito sus misiones/funciones comerciales asignadas.
56Para sistemas de seguridad distintos a los nacionales, las organizaciones cumplen con los requisitos mínimos de garantía especificados en la
Publicación especial 800-53 del NIST, Apéndice E.
57La publicación especial NIST 800-53A brinda orientación sobre la evaluación de los controles de seguridad en los sistemas de información federales.
CAPITULO 2 PÁGINA 27
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
La cultura también afecta el grado de riesgo en el que se incurre. La cultura se refleja en la voluntad de una
organización de adoptar tecnologías de la información nuevas y de vanguardia. Por ejemplo, es más
probable que las organizaciones que se dedican a actividades de investigación y desarrollo superen los
límites tecnológicos. Tales organizaciones son más propensas a ser las primeras en adoptar nuevas
tecnologías y, por lo tanto, es más probable que vean las nuevas tecnologías desde el punto de vista de los
beneficios potenciales logrados frente al daño potencial del uso. Por el contrario, las organizaciones que se
dedican a actividades relacionadas con la seguridad pueden ser más conservadoras por naturaleza y menos
propensas a traspasar los límites tecnológicos, desconfiando más de las nuevas tecnologías, especialmente
si las proporciona alguna entidad con la que la organización no está familiarizada ni confía. Estos tipos de
organizaciones también tienen menos probabilidades de ser los primeros en adoptar nuevas tecnologías y
estarían más inclinados a observar el daño potencial causado por la adopción de nuevas tecnologías. Otro
ejemplo es que algunas organizaciones tienen un historial de desarrollo de aplicaciones y servicios de
software patentados, o de adquisición de aplicaciones y servicios de software únicamente para su uso. Estas
organizaciones pueden ser reacias a utilizar aplicaciones y servicios de software proporcionados
externamente y esta renuencia puede dar lugar a que se incurra en un menor riesgo. Otras organizaciones
pueden, por otro lado, buscar maximizar las ventajas logradas por las arquitecturas modernas centradas en
la red (por ejemplo, arquitecturas orientadas a servicios, computación en la nube), donde el hardware, el
software y los servicios generalmente son proporcionados por organizaciones externas.
Además de los impactos culturales en las perspectivas de gestión de riesgos organizacionales, también puede
haber problemas culturales entre organizaciones. Cuando dos o más organizaciones operan juntas hacia un
propósito común, existe la posibilidad de que las diferencias culturales en cada una de las respectivas
organizaciones puedan resultar en diferentes estrategias de gestión de riesgos, propensión a incurrir en riesgos y
CAPITULO 2 PÁGINA 28
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
voluntad de aceptar el riesgo.58Por ejemplo, suponga que dos organizaciones están trabajando juntas para crear un
servicio de seguridad común destinado a abordar la amenaza persistente avanzada. La cultura de una de las
organizaciones puede resultar en un enfoque en la prevención de la divulgación no autorizada de información, mientras
que la naturaleza de la otra organización puede resultar en un énfasis en la continuidad de la misión. Las diferencias de
enfoque y énfasis resultantes de la cultura organizacional pueden generar diferentes prioridades y expectativas con
respecto a qué servicios de seguridad contratar, porque las organizaciones perciben la naturaleza de la amenaza de
manera diferente. Tales desconexiones relacionadas con la cultura no ocurren únicamente entre organizaciones, sino que
también pueden ocurrir dentro de las organizaciones, donde diferentes componentes organizacionales (por ejemplo,
componentes de tecnología de la información, componentes operativos) tienen diferentes valores y quizás tolerancias de
riesgo. Un ejemplo de desconexión interna se puede observar en un hospital que enfatiza diferentes culturas entre la
protección de la privacidad personal de los pacientes y la disponibilidad de información médica para los profesionales
médicos con fines de tratamiento.
La cultura moldea y es moldeada por las personas dentro de las organizaciones. Las influencias y los impactos culturales se pueden
sentir en los tres niveles en el enfoque de gestión de riesgos de varios niveles. Los líderes/ejecutivos sénior, tanto directa como
indirectamente en las estructuras de gobierno de Nivel 1, establecen el escenario para la forma en que las organizaciones
responden a diversos enfoques para gestionar el riesgo. Los líderes/ejecutivos sénior establecen la tolerancia al riesgo para las
organizaciones tanto de manera formal (p. ej., a través de la publicación de documentos de orientación y estrategia) como de
manera informal (p. ej., a través de acciones que son recompensadas y penalizadas, el grado de consistencia en las acciones y el
grado de responsabilidad que se impone) . La dirección establecida por los líderes/ejecutivos sénior y la comprensión de los valores
y prioridades organizacionales existentes son factores importantes que determinan cómo se gestiona el riesgo dentro de las
organizaciones.
58Puede existir una situación similar entre los elementos subordinados de una organización cuando estos elementos
CAPITULO 2 PÁGINA 29
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
estructura de gobierno descentralizada por razones tales como áreas de misión/negocios muy divergentes o necesidad de
una mayor separación entre líneas de misión/negocios debido a la sensibilidad del trabajo. Las razones para la
descentralización pueden reflejar y probablemente influirán en la tolerancia al riesgo. Por ejemplo, si no hay
organizaciones asociadas que cumplan con los requisitos de confianza establecidos, las organizaciones menos tolerantes
al riesgo pueden requerir mucha más evidencia de respaldo de diligencia debida (por ejemplo, acceso a evaluaciones de
riesgos, planes de seguridad, informes de evaluación de seguridad, decisiones de aceptación de riesgos) que típicamente
requerido en tales situaciones (ver el modelo de confianza validado en el Apéndice G).
CAPITULO 2 PÁGINA 30
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
se hacen despegues. Para algunas organizaciones, en particular aquellas organizaciones que manejan
información crítica y/o sensible, información de identificación personal o información clasificada, el énfasis suele
estar en evitar la divulgación no autorizada. Por el contrario, en aquellas organizaciones impulsadas por una
combinación de cultura organizacional y la naturaleza de sus misiones y funciones comerciales, el énfasis está en
mantener la disponibilidad de los sistemas de información para lograr una capacidad operativa continua. Como
parte del establecimiento de la tolerancia al riesgo organizacional, una evaluación de riesgos identifica los tipos y
niveles de riesgo a los que pueden estar expuestas las organizaciones. Esta evaluación considera tanto la
probabilidad como el impacto de eventos no deseados (consulte el Capítulo Tres, el proceso de gestión de
riesgos).
CAPITULO 2 PÁGINA 31
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
CAPÍTULO TRES
EL PROCESO
APLICACIÓN DE CONCEPTOS DE GESTIÓN DE RIESGOS EN TODA UNA ORGANIZACIÓN
T Este capítulo describe un proceso para administrar el riesgo de seguridad de la información que incluye: (i)
una descripción general del proceso de administración de riesgos; (ii) cómo las organizaciones establecen
el contexto para las decisiones basadas en el riesgo; (iii) cómo las organizaciones evalúan el riesgo
considerando amenazas, vulnerabilidades, probabilidad y consecuencias/impacto; (iv) cómo las organizaciones
responden al riesgo una vez determinado; y (v) cómo las organizaciones monitorean el riesgo a lo largo del tiempo
con cambios en la misión/necesidades comerciales, entornos operativos y sistemas de información de apoyo. El
proceso de gestión de riesgos, introducido en el Capítulo Dos, se describe en este capítulo junto con su
aplicabilidad en los tres niveles de gestión de riesgos. Cada uno de los pasos en el proceso de gestión de riesgos
(es decir, enmarcar el riesgo, evaluar el riesgo, responder al riesgo y monitorear el riesgo) se describe de manera
estructurada centrándose en elentradasocondiciones previasnecesario para iniciar el paso, el específico
ocupacionesque componen el paso, y elsalidasopost condicionesresultante del paso.60El efecto de los conceptos de
riesgo descritos en el Capítulo Dos (p. ej., tolerancia al riesgo, confianza y cultura) también se analizan en el
contexto del proceso de gestión de riesgos y su aplicación en varios niveles. La Figura 4 ilustra el proceso de
gestión de riesgos tal como se aplica en los niveles: organización, misión/proceso comercial y sistema de
información. Las flechas bidireccionales en la figura indican que los flujos de información y comunicación entre los
componentes de gestión de riesgos, así como el orden de ejecución de los componentes, pueden ser flexibles y
responder a la naturaleza dinámica del proceso de gestión de riesgos tal como se aplica en los tres niveles. .
EVALUAR
MARCO
TIER 1-ORGANIZACIÓN
60Se puede encontrar orientación adicional sobre pasos seleccionados en el proceso de gestión de riesgos (p. ej., evaluación de riesgos, monitoreo de riesgos) en
otras publicaciones especiales del NIST enumeradas en el Apéndice A.
CAPÍTULO 3 PÁGINA 32
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
El marco de riesgo establece el contexto y proporciona una perspectiva común sobre cómo las organizaciones gestionan
el riesgo. El marco de riesgo, como su principal resultado, produce unaestrategia de gestión de riesgosque aborda cómo
las organizaciones pretenden evaluar el riesgo, responder al riesgo y monitorear el riesgo. La estrategia de gestión de
riesgos hace explícitos los supuestos específicos, las restricciones, las tolerancias al riesgo y las prioridades/
compensaciones utilizadas dentro de las organizaciones para tomar decisiones operativas y de inversión. La estrategia de
gestión de riesgos también incluye cualquier decisión de nivel estratégico y consideraciones sobre cómo los líderes/
ejecutivos sénior deben gestionar el riesgo para las operaciones y los activos de la organización, las personas, otras
organizaciones y la Nación.
En el Nivel 1, los líderes/ejecutivos sénior, en consulta y colaboración con el ejecutivo de riesgo (función), definen el
marco de riesgo organizacional que incluye los tipos de decisiones de riesgo (por ejemplo, respuestas de riesgo)
respaldadas, cómo y bajo qué condiciones se evalúa el riesgo para respaldar esas decisiones de riesgo, y cómo se
monitorea el riesgo (por ejemplo, con qué nivel de detalle, en qué forma y con qué frecuencia). En el Nivel 2, los
propietarios de la misión/negocio aplican su comprensión del marco de riesgo organizacional para abordar las
preocupaciones específicas de las misiones/funciones comerciales de la organización (p. ej., suposiciones adicionales,
restricciones, prioridades y compensaciones). En el Nivel 3, los administradores de programas, los propietarios del
sistema de información y los proveedores de control común aplican su comprensión del marco de riesgo organizacional
en función de cómo los tomadores de decisiones en los Niveles 1 y 2 eligen administrar el riesgo.
El marco de gestión de riesgos61es el medio principal para abordar el riesgo en el Nivel 3. El RMF aborda las
preocupaciones específicas del diseño, desarrollo, implementación, operación y disposición de los sistemas de
información de la organización y los entornos en los que operan esos sistemas. El marco de riesgo se puede
adaptar en el Nivel 3 en función de la fase actual del ciclo de vida de desarrollo del sistema, lo que restringe aún
más las posibles respuestas al riesgo. Inicialmente, los marcos de riesgo organizacional pueden no ser explícitos o
pueden no estar definidos en términos que correspondan a los niveles de gestión de riesgos. En ausencia de
marcos de riesgo explícitos (que describan suposiciones, restricciones, tolerancia al riesgo y prioridades/
compensaciones), los propietarios de la misión/negocio pueden tener perspectivas divergentes sobre el riesgo o
cómo gestionarlo. Esto impide un entendimiento común en el Nivel 1 de cómo el riesgo de seguridad de la
información contribuye al riesgo organizacional, y en el Nivel 2, de cómo el riesgo aceptado para una misión o
función comercial afecta potencialmente el riesgo con respecto a otras misiones/funciones comerciales. Las
diferencias en la tolerancia al riesgo y los supuestos, restricciones y prioridades / compensaciones subyacentes se
basan en consideraciones operativas y / o arquitectónicas y deben ser comprendidas y aceptadas por los líderes /
ejecutivos senior dentro de sus respectivas organizaciones.
61El marco de gestión de riesgos (RMF), que opera principalmente en el nivel 3, se describe en la publicación especial
CAPÍTULO 3 PÁGINA 33
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
El marco de riesgo es el conjunto de suposiciones, restricciones, tolerancias de riesgo y prioridades/compensaciones que dan forma al
enfoque de una organización para gestionar el riesgo. El marco de riesgo está informado por la estructura de gobierno organizacional, la
postura financiera, el entorno legal/regulatorio, la estrategia de inversión, la cultura y las relaciones de confianza establecidas dentro y entre
las organizaciones. Las entradas para el paso de enmarcar el riesgo incluyen, por ejemplo, leyes, políticas, directivas, regulaciones, relaciones
contractuales y limitaciones financieras que imponen restricciones a las decisiones de riesgo potencial de las organizaciones. Otras entradas
para el marco de riesgo pueden incluir, por ejemplo, información específica de las organizaciones para hacer explícito: (i) la identificación de
relaciones de fideicomiso y modelos de fideicomiso (ver Apéndice G) que se derivan de memorandos de entendimiento o acuerdo existentes
(MOU o MOA); y (ii) la identificación de las estructuras y procesos de gobierno que indican el alcance o los límites de la autoridad para la toma
de decisiones sobre riesgos que pueden delegarse en los propietarios de la misión o del negocio. La condición previa clave para el marco de
riesgo es el compromiso del liderazgo senior de definir una estrategia explícita de gestión de riesgos y responsabilizar a los propietarios de la
misión/negocios por la implementación de la estrategia.
La guía producida por el paso de enmarcar el riesgo y las suposiciones subyacentes, las restricciones, las tolerancias al riesgo y las prioridades/
compensaciones utilizadas para desarrollar esa guía pueden ser inapropiadas para una o más misiones organizacionales o funciones comerciales.
Además, el entorno de riesgo tiene el potencial de cambiar con el tiempo. Por lo tanto, el proceso de gestión de riesgos permite la retroalimentación al
paso de enmarcar el riesgo desde los otros pasos del proceso, de la siguiente manera:
• Evaluación de riesgos:La información generada durante la evaluación de riesgos puede influir en los supuestos originales, cambiar las restricciones
con respecto a las respuestas de riesgo apropiadas, identificar compensaciones adicionales o cambiar las prioridades. Por ejemplo, la
caracterización de los adversarios (incluidas las tácticas, técnicas y procedimientos representativos) o las fuentes de información sobre
vulnerabilidades pueden no ser coherentes con la forma en que algunas organizaciones llevan a cabo sus misiones/funciones comerciales; una
fuente de información sobre amenazas/vulnerabilidades que es útil para una misión/función comercial podría, de hecho, ser útil para otros; o la
orientación organizacional sobre la evaluación del riesgo bajo incertidumbre puede ser demasiado onerosa, o insuficientemente definida, para ser
útil para una o más funciones de misión/negocio.
• Respuesta a los riesgos:La información descubierta durante el desarrollo de cursos de acción alternativos podría revelar que se
eliminó el marco de riesgo o que no se descubrieron algunas alternativas potencialmente rentables de la consideración. Esta
situación puede desafiar a las organizaciones a revisar los supuestos originales o investigar formas de cambiar las restricciones
establecidas.
• Seguimiento de riesgos:El monitoreo del control de seguridad por parte de las organizaciones podría indicar que una clase de
controles, o una implementación específica de un control, es relativamente ineficaz, dadas las inversiones en personas, procesos o
tecnología. Esta situación podría conducir a cambios en los supuestos sobre qué tipos de respuestas de riesgo prefieren las
organizaciones. El monitoreo del entorno operativo podría revelar cambios en el panorama de amenazas (p. ej., cambios en las tácticas,
técnicas y procedimientos observados en todos los sistemas de información de la organización; aumento de la frecuencia y/o intensidad
de los ataques contra misiones/funciones comerciales específicas) que hacen que las organizaciones revisar las suposiciones originales
sobre amenazas y/o buscar diferentes fuentes de información sobre amenazas. Los avances significativos en soluciones operativas y
técnicas defensivas o proactivas podrían generar la necesidad de revisar la estrategia de inversión identificada durante el paso de
elaboración. El monitoreo de los entornos legales/reglamentarios también podría influir en los cambios en los supuestos o
restricciones. Además, el seguimiento del riesgo en el que se incurre puede resultar en la necesidad de reconsiderar la tolerancia al
riesgo organizacional si la declaración existente de tolerancia al riesgo no parece coincidir con las realidades operativas.
Ocupaciones
SUPUESTOS DE RIESGO
TAREA 1-1:Identifique los supuestos que afectan la forma en que se evalúa, responde y supervisa el riesgo dentro de la
organización.
Orientación complementaria:Las organizaciones que identifican, caracterizan y brindan ejemplos representativos de fuentes de amenazas,
vulnerabilidades, consecuencias/impactos y determinaciones de probabilidad promueven una terminología común y un marco de referencia para
comparar y abordar los riesgos en diferentes áreas de misión/negocio. Las organizaciones también pueden seleccionar metodologías de evaluación de
riesgos apropiadas, según el gobierno organizacional, la cultura y cuán divergentes sean las misiones/funciones comerciales dentro de las respectivas
organizaciones. Por ejemplo, las organizaciones con estructuras de gobierno altamente centralizadas pueden optar por utilizar una metodología única de
evaluación de riesgos. Las organizaciones con estructuras de gobierno híbridas pueden seleccionar múltiples metodologías de evaluación de riesgos
para el Nivel 2 y una metodología adicional de evaluación de riesgos para el Nivel 1 que asimile y armonice los hallazgos, resultados y observaciones de
las evaluaciones de riesgo de Nivel 2. Alternativamente, cuando la autonomía y la diversidad son fundamentales para la cultura organizacional, las
organizaciones podrían definir los requisitos para el grado de rigor y la forma de los resultados, dejando la elección de metodologías específicas de
evaluación de riesgos a los propietarios de la misión/negocio.
CAPÍTULO 3 PÁGINA 34
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Fuentes de amenazas
Las fuentes de amenazas provocan eventos que tienen consecuencias indeseables o impactos adversos en las operaciones y los activos de la
organización, las personas, otras organizaciones y la Nación. Las fuentes de amenazas incluyen: (i) ataques cibernéticos/físicos hostiles; (ii) errores
humanos de omisión o comisión; o (iii) desastres naturales y provocados por el hombre. Para las amenazas debidas a ataques cibernéticos hostiles o
ataques físicos, las organizaciones brindan una caracterización sucinta de los tipos de tácticas, técnicas y procedimientos empleados por los adversarios
que deben abordarse mediante salvaguardas y contramedidas (es decir, controles de seguridad) implementadas en el Nivel 1 (controles de la
organización). nivel), en el Nivel 2 (nivel de misión/proceso de negocio), y en el Nivel 3 (nivel del sistema de información), haciendo explícitos los tipos de
fuentes de amenazas que deben abordarse, así como también haciendo explícitos aquellos que no están siendo abordados por las salvaguardas/
contramedidas. Los adversarios se pueden caracterizar en términos de niveles de amenaza (basados en capacidades, intenciones y objetivos) o con
detalles adicionales. Las organizaciones hacen explícitas las suposiciones sobre el objetivo, las intenciones y las capacidades de las fuentes de amenazas.
A continuación, las organizaciones identifican un conjunto de eventos de amenazas representativos. Este conjunto de eventos de amenazas proporciona
orientación sobre el nivel de detalle con el que se describen los eventos. Las organizaciones también identifican las condiciones para considerar eventos
de amenazas en las evaluaciones de riesgos. Por ejemplo, Las organizaciones pueden restringir las evaluaciones de riesgo a aquellos eventos de
amenazas que realmente se han observado (ya sea interna o externamente por socios u organizaciones similares) o, alternativamente, especificar que
también se pueden considerar los eventos de amenazas descritos por investigadores confiables. Finalmente, las organizaciones identifican las fuentes de
información sobre amenazas que se consideran creíbles y útiles (p. ej., Centros de Análisis e Intercambio de Información Sectorial [ISAC]). Las relaciones
de confianza determinan de qué socios, proveedores y clientes se obtiene información sobre amenazas, así como las expectativas que se depositan en
esos socios, proveedores y clientes en los pasos posteriores del proceso de gestión de riesgos. Al establecer puntos de partida comunes para identificar
fuentes de amenazas en el Nivel 1, organizaciones proporcionan una base para agregar y consolidar los resultados de las evaluaciones de riesgo en el
Nivel 2 (incluidas las evaluaciones de riesgo realizadas para coaliciones de misiones y áreas comerciales o para proveedores de control común) en una
evaluación general de riesgo para la organización en su conjunto. En el Nivel 2, los propietarios de la misión/negocio pueden identificar fuentes
adicionales de información sobre amenazas específicas para las misiones de la organización o las funciones comerciales. Estas fuentes generalmente se
basan en: (i) un negocio en particular o un sector de infraestructura crítica (por ejemplo, el sector ISAC); (ii) entornos operativos específicos de las
misiones o líneas de negocio (p. ej., marítimo, espacio aéreo); y (iii) dependencias externas (por ejemplo, GPS o comunicaciones por satélite). La
caracterización de las fuentes de amenazas se refina para las misiones/funciones comerciales establecidas por las organizaciones, con el resultado de
que algunas fuentes de amenazas pueden no ser motivo de preocupación, mientras que otras podrían describirse con mayor detalle. En el Nivel 3, los
administradores de programas, los propietarios del sistema de información y los proveedores de control común consideran la fase del ciclo de vida del
desarrollo del sistema para determinar el nivel de detalle con el que se pueden considerar las amenazas. Una mayor especificidad de amenaza tiende a
estar disponible más adelante en el ciclo de vida.
vulnerabilidades
Organizations identify approaches used to characterize vulnerabilities, consistent with the characterization of threat
sources and events. Vulnerabilities can be associated with exploitable weakness or deficiencies in: (i) the hardware,
software, or firmware components that compose organizational information systems (or the security controls employed
within or inherited by those systems; (ii) mission/business processes and enterprise architectures (including embedded
information security architectures) implemented by organizations; or (iii) organizational governance structures or
processes. Vulnerabilities can also be associated with the susceptibility of organizations to adverse impacts,
consequences, or harm from external sources (e.g., physical destruction of non-owned infrastructure such as electric
power grids). Organizations provide guidance regarding how to consider dependencies on external organizations as
vulnerabilities in the risk assessments conducted. The guidance can be informed by the types of trust relationships
established by organizations with external providers. Organizations identify the degree of specificity with which
vulnerabilities are described (e.g., general terms, Common Vulnerability Enumeration [CVE] identifiers, identification of
weak/deficient security controls), giving some representative examples corresponding to representative threats.
Organizational governance structures and processes determine how vulnerability information is shared across
organizations. Organizations may also identify sources of vulnerability information found to be credible and useful. At Tier
2, mission/business owners may choose to identify additional sources of vulnerability information (e.g., a sector ISAC for
information about vulnerabilities specific to that sector). At Tier 3, program managers, information system owners, and
common control providers consider the phase in the system development life cycle—and in particular, the technologies
included in the system – to determine the level of detail with which vulnerabilities can be considered. Organizations make
explicit any assumptions about the degree of organizational or information system vulnerability to specific threat sources
(by name or by type).
Consecuencias e impacto
Las organizaciones brindan orientación sobre cómo evaluar los impactos en las operaciones de la organización (es decir, la
misión, las funciones, la imagen y la reputación), los activos de la organización, las personas, otras organizaciones y la Nación (p.
Acercarse). Las organizaciones pueden experimentar las consecuencias/el impacto de los eventos adversos a nivel del sistema de
información (p. ej., no cumplir con los requisitos), a nivel de la misión/proceso comercial (p. ej., no cumplir plenamente la misión/
los objetivos comerciales) y a nivel organizacional. (por ejemplo, no cumplir con los requisitos legales o reglamentarios, dañar la
reputación o las relaciones, o socavar la viabilidad a largo plazo). Las organizaciones determinan en el Nivel 1, qué consecuencias
y tipos de impacto se considerarán en el Nivel 2, la misión/negocio
CAPÍTULO 3 PÁGINA 35
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
nivel de proceso. Un evento adverso puede tener múltiples consecuencias y diferentes tipos de impacto, en diferentes niveles y en diferentes marcos de tiempo. Por ejemplo, la exposición de información confidencial (p. ej., información de identificación personal)
por parte de una misión/área comercial particular (p. ej., recursos humanos) puede tener consecuencias en toda la organización y un impacto adverso con respecto al daño a la reputación; la consecuencia / impacto del sistema de información para múltiples
sistemas de un atacante que supera más fácilmente los controles de seguridad de identificación y autenticación; y la consecuencia/impacto de la misión/proceso comercial (para una o más áreas de misión/negocio) de un atacante que falsifica información en la
que se basan decisiones futuras. Para garantizar la coherencia, las organizaciones determinan en el Nivel 1 cómo se evaluarán las consecuencias/impactos experimentados en diferentes períodos de tiempo. En el Nivel 2, los propietarios de la misión/negocio
pueden ampliar la orientación organizacional, según corresponda. Los tipos de consecuencias e impactos considerados en las determinaciones de riesgo se identifican para proporcionar una base para determinar, agregar y/o consolidar los resultados de riesgo y
para facilitar la comunicación de riesgo. Las organizaciones también brindan orientación al Nivel 2 y al Nivel 3 con respecto a la medida en que las evaluaciones de riesgo deben considerar el riesgo para otras organizaciones y la Nación. La organización hace
explícita cualquier suposición sobre el grado de impacto/consecuencias relacionadas con fuentes de amenazas específicas (por nombre o por tipo) o a través de vulnerabilidades específicas (individualmente o por tipo). Los tipos de consecuencias e impactos
considerados en las determinaciones de riesgo se identifican para proporcionar una base para determinar, agregar y/o consolidar los resultados de riesgo y para facilitar la comunicación de riesgo. Las organizaciones también brindan orientación al Nivel 2 y al
Nivel 3 con respecto a la medida en que las evaluaciones de riesgo deben considerar el riesgo para otras organizaciones y la Nación. La organización hace explícita cualquier suposición sobre el grado de impacto/consecuencias relacionadas con fuentes de
amenazas específicas (por nombre o por tipo) o a través de vulnerabilidades específicas (individualmente o por tipo). Los tipos de consecuencias e impactos considerados en las determinaciones de riesgo se identifican para proporcionar una base para
determinar, agregar y/o consolidar los resultados de riesgo y para facilitar la comunicación de riesgo. Las organizaciones también brindan orientación al Nivel 2 y al Nivel 3 con respecto a la medida en que las evaluaciones de riesgo deben considerar el riesgo
para otras organizaciones y la Nación. La organización hace explícita cualquier suposición sobre el grado de impacto/consecuencias relacionadas con fuentes de amenazas específicas (por nombre o por tipo) o a través de vulnerabilidades específicas
Probabilidad
Las organizaciones pueden emplear una variedad de enfoques para determinar la probabilidad de eventos de amenaza. Algunas organizaciones tratan
la probabilidad de que ocurra un evento de amenaza y la probabilidad de que, si ocurre, resulte en efectos adversos como factores separados, mientras
que otras organizaciones evalúan la probabilidad de amenaza como una combinación de estos factores. Además, algunas organizaciones prefieren
evaluaciones de riesgos cuantitativas, mientras que otras organizaciones, particularmente cuando la evaluación implica un alto grado de incertidumbre,
prefieren evaluaciones de riesgos cualitativas. Las determinaciones de probabilidad pueden basarse en suposiciones de amenazas o datos de amenazas
reales (p. ej., datos históricos sobre ataques cibernéticos, datos históricos sobre terremotos o información específica sobre las capacidades, intenciones
y objetivos del adversario). Cuando se dispone de datos de amenazas específicos y creíbles (p. ej., tipos de ataques cibernéticos, tendencias de ataques
cibernéticos, frecuencias de ataques), las organizaciones pueden usar los datos empíricos y los análisis estadísticos para determinar probabilidades más
específicas de que ocurran eventos de amenazas. Las organizaciones seleccionan un método consistente con la cultura organizacional y la tolerancia al
riesgo. Las organizaciones también pueden hacer supuestos explícitos con respecto a la probabilidad de que un evento de amenaza resulte en efectos
adversos de la siguiente manera: (i)peor de los casos(es decir, el ataque tendrá éxito a menos que haya razones poderosas y objetivas para suponer lo
contrario); (ii)mejor caso(es decir, el ataque no tendrá éxito a menos que exista información específica y creíble que indique lo contrario); o (iii) algo
entre el mejor y el peor de los casos (por ejemplo, el caso más probable). Las organizaciones documentan cualquier suposición general. Las
organizaciones pueden usar datos empíricos y análisis estadísticos para ayudar a informar cualquiera de los enfoques utilizados para determinar la
probabilidad de que ocurran eventos de amenaza. Las organizaciones seleccionan un método consistente con la cultura organizacional, la comprensión
del entorno operativo y la tolerancia al riesgo.
RESTRICCIONES DE RIESGO
TAREA 1-2:Identificar las restricciones en la realización de actividades de evaluación de riesgos, respuesta a riesgos y monitoreo de
Orientación complementaria:La ejecución del proceso de gestión de riesgos puede verse limitada de varias maneras, algunas de
las cuales son directas y obvias, mientras que otras son indirectas. Las limitaciones financieras pueden restringir el conjunto de
actividades de gestión de riesgos directamente (p. ej., al limitar los recursos totales disponibles para inversiones en evaluaciones de
riesgos o en salvaguardas o contramedidas) o indirectamente (p. ej., al eliminar actividades que, si bien implican inversiones
relativamente pequeñas en respuesta al riesgo, implicar la reducción o el descarte de inversiones en sistemas de información
heredados o tecnología de la información). Las organizaciones también pueden descubrir que la necesidad de seguir dependiendo
de los sistemas de información heredados puede limitar las opciones de gestión de riesgos disponibles para la organización. Las
restricciones también pueden incluir requisitos legales, reglamentarios y/o contractuales. Tales restricciones pueden reflejarse en
las políticas de la organización (p. ej., restricciones a la subcontratación, restricciones y/o requisitos para la recopilación de
información como parte del monitoreo de riesgos). La cultura organizacional puede imponer restricciones indirectas sobre los
cambios de gobierno (p. ej., impedir un cambio de estructuras de gobierno descentralizadas a híbridas) y qué controles de
seguridad son considerados por las organizaciones como posibles controles comunes. En particular, las actitudes organizacionales
hacia el riesgo de la tecnología de la información que, por ejemplo, favorecen la automatización extensiva y la adopción temprana
de nuevas tecnologías pueden limitar el grado de prevención de riesgos y tal vez la mitigación de riesgos que se puede lograr.
Cualquier restricción cultural que limite al líder senior/ejecutivo (p. ej., director de información) la visibilidad de los sistemas de
información de la organización que están más allá de su autoridad formal (por ejemplo, sistemas relacionados con la misión) puede
impedir la comprensión general de la complejidad del entorno de los sistemas de información y los riesgos relacionados para la
organización. En el Nivel 2, los dueños de la misión/negocio interpretan las restricciones a la luz de las misiones organizacionales/
funciones comerciales. Algunas restricciones reglamentarias pueden no aplicarse a misiones/funciones comerciales particulares (p.
ej., reglamentaciones que se aplican a operaciones internacionales, cuando las áreas de misión/negocios están restringidas a los
Estados Unidos). Alternativamente, pueden aplicarse requisitos adicionales (p. ej., misión/procesos comerciales realizados en
conjunto con otra organización, lo que impone restricciones contractuales). En el Nivel 3, los propietarios del sistema de
información, los proveedores de control común,
CAPÍTULO 3 PÁGINA 36
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
TOLERANCIA AL RIESGO
Orientación complementaria:La tolerancia al riesgo es el nivel de riesgo que las organizaciones están dispuestas a aceptar en la búsqueda de metas y objetivos estratégicos. Las organizaciones definen la tolerancia al riesgo
relacionada con la seguridad de la información en toda la organización considerando todas las misiones/funciones comerciales. Las organizaciones pueden usar una variedad de técnicas para identificar la tolerancia al riesgo de
seguridad de la información (p. ej., al establecer zonas en un espacio comercial de probabilidad-impacto o al usar un conjunto de escenarios representativos). Las organizaciones también definen la tolerancia para otros tipos de
riesgos organizacionales y operativos (por ejemplo, riesgo financiero, riesgo de seguridad, riesgo de cumplimiento o riesgo de reputación). En el Nivel 2, los propietarios de la misión/negocio pueden tener diferentes tolerancias al
riesgo de la organización en su conjunto. El ejecutivo de riesgo (función) proporciona a las organizaciones formas de resolver tales diferencias en las tolerancias de riesgo en el Nivel 2. El nivel de riesgo residual aceptado por los
ordenadores para los sistemas de información o los controles comunes heredados se encuentra dentro de la tolerancia al riesgo de la organización, y no a las tolerancias de riesgo individuales de dichos ordenadores. Además, las
organizaciones brindan a los Niveles 2 y 3, orientación sobre la evaluación de riesgos para una misión/procesos de negocios o sistemas de información específicos y un enfoque en la efectividad de la misión/negocios a corto plazo
con el enfoque estratégico a largo plazo de la tolerancia al riesgo organizacional. Consulte la Sección 2.3.3 para obtener información adicional sobre la tolerancia al riesgo. orientación sobre la evaluación del riesgo para una
misión/procesos de negocio o sistemas de información específicos y un enfoque en la efectividad de la misión/negocio a corto plazo con el enfoque estratégico a largo plazo de la tolerancia al riesgo de la organización. Consulte la
Sección 2.3.3 para obtener información adicional sobre la tolerancia al riesgo. orientación sobre la evaluación del riesgo para una misión/procesos de negocio o sistemas de información específicos y un enfoque en la efectividad
de la misión/negocio a corto plazo con el enfoque estratégico a largo plazo de la tolerancia al riesgo de la organización. Consulte la Sección 2.3.3 para obtener información adicional sobre la tolerancia al riesgo.
PRIORIDADES Y COMPENSACIONES
TAREA 1-4:Identificar las prioridades y las ventajas y desventajas consideradas por la organización en la gestión del riesgo.
Orientación complementaria:El riesgo se experimenta en diferentes niveles, en diferentes formas y en diferentes marcos de tiempo. En el Nivel 1, las
organizaciones hacen concesiones y establecen prioridades para responder a dichos riesgos. Las organizaciones tienden a tener múltiples prioridades
que a veces entran en conflicto, lo que genera un riesgo potencial. Los enfoques empleados por las organizaciones para administrar carteras de riesgos
reflejan la cultura organizacional, la tolerancia al riesgo, así como las suposiciones y restricciones relacionadas con el riesgo. Estos enfoques suelen estar
incorporados en los planes estratégicos, las políticas y las hojas de ruta de las organizaciones que pueden indicar preferencias por diferentes formas de
respuesta al riesgo. Por ejemplo, las organizaciones pueden estar dispuestas a aceptar el riesgo a corto plazo de operaciones ligeramente degradadas
para lograr una reducción a largo plazo del riesgo de seguridad de la información. Sin embargo, esta compensación podría ser inaceptable para una
misión/función comercial particularmente crítica (p. ej., requisitos en tiempo real en muchos sistemas industriales/de control de procesos). Para esa área
de alta prioridad, puede ser necesario un enfoque diferente para mejorar la seguridad, incluida la aplicación de controles de seguridad compensatorios.
produce un conjunto de políticas, procedimientos, estándares, orientación y recursos organizacionales que cubren los siguientes temas: (i) alcance del proceso de gestión de riesgos organizacionales (p. ej., entidades
organizacionales cubiertas; misión/funciones comerciales afectadas; cómo la gestión de riesgos las actividades se aplican dentro de los niveles de gestión de riesgos); (ii) orientación para la evaluación de riesgos que incluye, por
ejemplo, la caracterización de las fuentes de amenazas, fuentes de información sobre amenazas, eventos de amenazas representativos (en particular, tácticas, técnicas y procedimientos del adversario), cuándo considerar y cómo
evaluar amenazas, fuentes de vulnerabilidad información, metodologías de evaluación de riesgos que se utilizarán y supuestos de riesgo; (iii) orientación de respuesta al riesgo que incluye, por ejemplo, tolerancias al riesgo,
conceptos de respuesta al riesgo que se emplearán, costos de oportunidad, compensaciones, consecuencias de las respuestas, jerarquía de autoridades y prioridades; (iv) orientación para el monitoreo de riesgos, incluida, por
ejemplo, orientación sobre el análisis de los factores de riesgo monitoreados para determinar los cambios en el riesgo, y la frecuencia, los métodos y los informes del monitoreo; (v) otras limitaciones y limitaciones de riesgo para
ejecutar actividades de gestión de riesgos; y (vi) prioridades organizativas y compensaciones. Los resultados del paso de elaboración del marco del riesgo sirven como entradas para los pasos de evaluación del riesgo, respuesta al
riesgo y seguimiento del riesgo. orientación sobre el análisis de los factores de riesgo monitoreados para determinar los cambios en el riesgo y la frecuencia, los métodos y los informes del monitoreo; (v) otras limitaciones y
limitaciones de riesgo para ejecutar actividades de gestión de riesgos; y (vi) prioridades organizativas y compensaciones. Los resultados del paso de elaboración del marco del riesgo sirven como entradas para los pasos de
evaluación del riesgo, respuesta al riesgo y seguimiento del riesgo. orientación sobre el análisis de los factores de riesgo monitoreados para determinar los cambios en el riesgo y la frecuencia, los métodos y los informes del
monitoreo; (v) otras limitaciones y limitaciones de riesgo para ejecutar actividades de gestión de riesgos; y (vi) prioridades organizativas y compensaciones. Los resultados del paso de elaboración del marco del riesgo sirven como
entradas para los pasos de evaluación del riesgo, respuesta al riesgo y seguimiento del riesgo.
La evaluación de riesgos identifica, prioriza y estima el riesgo para las operaciones de la organización (es decir, misión,
funciones, imagen y reputación), los activos de la organización, las personas, otras organizaciones y la Nación, resultantes
de la operación y el uso de los sistemas de información.62Las evaluaciones de riesgos utilizan los resultados de las
evaluaciones de amenazas y vulnerabilidades para identificar y evaluar el riesgo en términos de probabilidad de
ocurrencia y posible impacto adverso (es decir, magnitud del daño) para organizaciones, activos e individuos. Las
evaluaciones de riesgos se pueden realizar en cualquiera de los niveles de gestión de riesgos
62El borrador de la Publicación especial del NIST 800-30, Revisión 1, brinda orientación sobre la realización de evaluaciones de riesgos (incluidas las
evaluaciones de riesgos incrementales o diferenciales) en los tres niveles del enfoque de gestión de riesgos de varios niveles.
CAPÍTULO 3 PÁGINA 37
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
con diferentes objetivos y utilidad de la información producida. Por ejemplo, las evaluaciones de riesgos realizadas en el Nivel 1 o el
Nivel 2 se centran en las operaciones, los activos y las personas de la organización, ya sea integrales en todas las líneas de misión/
negocios o solo en aquellas evaluaciones que son transversales a la misión/línea de negocios en particular. Las evaluaciones de
riesgo de toda la organización pueden basarse únicamente en los supuestos, las limitaciones, las tolerancias de riesgo, las
prioridades y las compensaciones establecidas en el paso de elaboración del marco de riesgo (derivado principalmente de las
actividades de Nivel 1) o pueden basarse en las evaluaciones de riesgo realizadas en múltiples misiones. / líneas de negocio
(derivadas principalmente de actividades Tier 2). Las evaluaciones de riesgos realizadas en un nivel se pueden utilizar para refinar/
mejorar la información sobre amenazas, vulnerabilidad, probabilidad e impacto utilizada en las evaluaciones realizadas en otros
niveles. El grado de reutilización de la información de las evaluaciones de riesgos está determinado por la similitud de las misiones/
funciones comerciales y el grado de autonomía que las entidades organizativas o los subcomponentes tienen con respecto a las
organizaciones matrices. Las organizaciones que están descentralizadas pueden esperar realizar más actividades de evaluación de
riesgos en el Nivel 2 y, como resultado, pueden tener una mayor necesidad de comunicarse dentro del Nivel 2 para identificar
amenazas y vulnerabilidades transversales. Las organizaciones descentralizadas aún pueden beneficiarse de las evaluaciones de
riesgo de Nivel 1 y, en particular, de la identificación de un conjunto inicial de amenazas y fuentes de vulnerabilidad. Las
evaluaciones de riesgos de toda la organización brindan cierta priorización inicial de los riesgos para que los tomadores de
decisiones los consideren al ingresar al paso de respuesta al riesgo.
Las organizaciones se benefician significativamente de la realización de evaluaciones de riesgos como parte de un proceso de gestión de riesgos en toda la organización. Sin embargo, una vez que se
completan las evaluaciones de riesgos, es prudente que las organizaciones inviertan algo de tiempo en mantener las evaluaciones actualizadas. Mantener actualizadas las evaluaciones de riesgos
requiere el apoyo del paso de monitoreo de riesgos (p. ej., observar los cambios en los sistemas de información de la organización y los entornos de operación o analizar los resultados del monitoreo para
mantener la conciencia del riesgo). Mantener las evaluaciones de riesgos actualizadas brinda muchos beneficios potenciales, como información oportuna y relevante que permite a los líderes/ejecutivos
senior realizar una gestión de riesgos casi en tiempo real. El mantenimiento de las evaluaciones de riesgos también reduce los costos de evaluación futuros y respalda los esfuerzos continuos de
monitoreo de riesgos. Las organizaciones pueden determinar que realizar evaluaciones de riesgos integrales como una forma de mantener las evaluaciones de riesgos actuales no proporciona valor
suficiente. En tales situaciones, las organizaciones consideran realizar evaluaciones de riesgos incrementales y/o diferenciales. Las evaluaciones de riesgos incrementales consideran solo información
nueva (p. ej., los efectos del uso de un nuevo sistema de información sobre la misión/riesgo comercial), mientras que las evaluaciones de riesgos diferenciales consideran cómo los cambios afectan la
determinación general del riesgo. Las evaluaciones de riesgos incrementales o diferenciales son útiles si las organizaciones requieren una revisión más específica del riesgo, buscan una comprensión más
amplia del riesgo o desean una comprensión más amplia del riesgo en relación con las misiones/funciones comerciales. En tales situaciones, las organizaciones consideran realizar evaluaciones de
riesgos incrementales y/o diferenciales. Las evaluaciones de riesgos incrementales consideran solo información nueva (p. ej., los efectos del uso de un nuevo sistema de información sobre la misión/
riesgo comercial), mientras que las evaluaciones de riesgos diferenciales consideran cómo los cambios afectan la determinación general del riesgo. Las evaluaciones de riesgos incrementales o
diferenciales son útiles si las organizaciones requieren una revisión más específica del riesgo, buscan una comprensión más amplia del riesgo o desean una comprensión más amplia del riesgo en
relación con las misiones/funciones comerciales. En tales situaciones, las organizaciones consideran realizar evaluaciones de riesgos incrementales y/o diferenciales. Las evaluaciones de riesgos
incrementales consideran solo información nueva (p. ej., los efectos del uso de un nuevo sistema de información sobre la misión/riesgo comercial), mientras que las evaluaciones de riesgos diferenciales
consideran cómo los cambios afectan la determinación general del riesgo. Las evaluaciones de riesgos incrementales o diferenciales son útiles si las organizaciones requieren una revisión más específica
del riesgo, buscan una comprensión más amplia del riesgo o desean una comprensión más amplia del riesgo en relación con las misiones/funciones comerciales. mientras que las evaluaciones de riesgos diferenciales consideran cómo los cambios a
Las entradas al paso de evaluación de riesgos del paso de encuadre de riesgos incluyen, por ejemplo: (i) metodologías aceptables de
evaluación de riesgos; (ii) la amplitud y profundidad del análisis empleado durante las evaluaciones de riesgo; (iii) el nivel de granularidad
requerido para describir las amenazas; (iv) si / cómo evaluar a los proveedores de servicios externos; y (v) si / cómo agregar los resultados de
la evaluación de riesgos de diferentes entidades organizativas o funciones de misión / negocio a la organización en su conjunto. Las
expectativas de la organización con respecto a las metodologías, técnicas y/o procedimientos de evaluación de riesgos están fuertemente
determinadas por las estructuras de gobierno, la tolerancia al riesgo, la cultura, la confianza y los procesos del ciclo de vida. Antes de realizar
evaluaciones de riesgos, Las organizaciones entienden las razones fundamentales para realizar las evaluaciones y lo que constituye la
profundidad y amplitud adecuadas para las evaluaciones. Los supuestos de riesgo, las restricciones de riesgo, la tolerancia al riesgo y las
prioridades/compensaciones definidas durante el paso de encuadre de riesgo dan forma a cómo las organizaciones usan las evaluaciones de
riesgo, por ejemplo, aplicaciones localizadas de las evaluaciones de riesgo dentro de cada uno de los niveles de gestión de riesgo (es decir,
gobierno, misión/negocio). procesos, sistemas de información) o aplicaciones globales de las evaluaciones de riesgos en toda la
organización. Las organizaciones pueden realizar evaluaciones de riesgos incluso cuando no se hayan recibido algunos de los aportes del
paso de encuadre de riesgos o no se hayan establecido las condiciones previas. Sin embargo, en esas situaciones, la calidad de los resultados
de la evaluación de riesgos puede verse afectada. Además del paso de enmarcar el riesgo,
CAPÍTULO 3 PÁGINA 38
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
especialmente durante las operaciones de la misión y la fase de operaciones/mantenimiento del ciclo de vida del desarrollo del sistema (p. ej., cuando
las organizaciones descubren nuevas amenazas o vulnerabilidades que requieren una reevaluación inmediata del riesgo). El paso de evaluación de
riesgos también puede recibir información del paso de respuesta al riesgo (por ejemplo, cuando las organizaciones están considerando el riesgo de
emplear nuevas soluciones basadas en tecnología como alternativas a las medidas de reducción de riesgos). A medida que se desarrollan cursos de
acción en el paso de respuesta al riesgo, puede ser necesaria una evaluación de riesgo diferencial para evaluar las diferencias que cada curso de acción
hace en la determinación general del riesgo.
Ocupaciones
TAREA 2-1:Identificar amenazas y vulnerabilidades en los sistemas de información de la organización y los entornos en los
que operan los sistemas.
Orientación complementaria:La identificación de amenazas requiere un examen de las fuentes y eventos de amenazas. Para examinar las fuentes y eventos de
amenazas, las organizaciones identifican las capacidades de amenazas, las intenciones y la información de objetivos de todas las fuentes disponibles. Las
organizaciones pueden aprovechar varias fuentes de información sobre amenazas a nivel estratégico o táctico. La información sobre amenazas generada en
cualquier nivel se puede utilizar para informar o refinar las actividades relacionadas con el riesgo en cualquier otro nivel. Por ejemplo, las amenazas específicas (es
decir, tácticas, técnicas y procedimientos) identificadas durante las evaluaciones de amenazas de Nivel 1 pueden afectar directamente la misión/proceso comercial y
las decisiones de diseño arquitectónico en el Nivel 2. Las organizaciones pueden utilizar la información de amenazas específicas generada en los Niveles 2 y 3. para
refinar la información sobre amenazas generada durante las evaluaciones iniciales de amenazas realizadas en el Nivel 1.
La identificación de vulnerabilidades ocurre en todos los niveles. Las vulnerabilidades relacionadas con el gobierno organizacional (p. ej.,
decisiones inconsistentes sobre las prioridades relativas de la misión/procesos comerciales, selección de implementaciones incompatibles de
controles de seguridad), así como las vulnerabilidades relacionadas con dependencias externas (p. ej., energía eléctrica, cadena de
suministro, telecomunicaciones), son las más importantes. identificadas efectivamente en el Nivel 1. Sin embargo, la mayoría de las
identificaciones de vulnerabilidades ocurren en los Niveles 2 y 3. En el Nivel 2, las vulnerabilidades relacionadas con el proceso y la
arquitectura (p. arquitecturas) tienen más probabilidades de ser identificados. En el Nivel 3, las vulnerabilidades del sistema de información
son el enfoque principal. Estas vulnerabilidades se encuentran comúnmente en los componentes de hardware, software y firmware de los
sistemas de información o en los entornos en los que operan los sistemas. Otras áreas de vulnerabilidades potenciales incluyen
vulnerabilidades asociadas con la definición, aplicación/implementación y monitoreo de procesos, procedimientos y servicios relacionados
con aspectos administrativos, operativos y técnicos de la seguridad de la información. Las vulnerabilidades asociadas con el diseño
arquitectónico y los procesos de misión/negocio pueden tener un mayor impacto en la capacidad de las organizaciones para llevar a cabo
misiones y funciones comerciales con éxito debido al impacto potencial en múltiples sistemas de información y entornos de misión. Las
evaluaciones de vulnerabilidad refinadas realizadas en los Niveles 2 y 3 se comparten con el personal de la organización responsable de
evaluar los riesgos de manera más estratégica. Las evaluaciones de vulnerabilidad realizadas en los niveles 2 y 3 tienen la oportunidad de
evaluar variables relacionadas adicionales, como la ubicación, la proximidad a otros activos de alto riesgo (físicos o lógicos) y las
consideraciones de recursos relacionadas con los entornos operativos. La información específica de los entornos operativos permite obtener
resultados de evaluación más útiles y prácticos. La identificación de la vulnerabilidad se puede lograr a nivel de debilidad/deficiencia por
individuo o a nivel de causa raíz. Al seleccionar entre enfoques, las organizaciones consideran si el objetivo general es identificar cada
instancia específica o síntoma de un problema o comprender las causas fundamentales subyacentes de los problemas. Comprender las
debilidades o deficiencias explotables específicas es útil cuando se identifican los problemas por primera vez o cuando se requieren
soluciones rápidas. Esta comprensión específica también proporciona a las organizaciones las fuentes de información necesarias para
diagnosticar eventualmente las posibles causas raíz de los problemas, especialmente aquellos problemas que son de naturaleza sistémica.
Las organizaciones con arquitecturas empresariales más establecidas (incluidas las arquitecturas de seguridad de la información integradas) y procesos
de ciclo de vida maduros tienen resultados que se pueden utilizar para informar los procesos de evaluación de riesgos. Las suposiciones de riesgo, las
restricciones, las tolerancias, las prioridades y las compensaciones utilizadas para desarrollar arquitecturas empresariales y arquitecturas de seguridad
de la información integradas pueden ser fuentes útiles de información para las actividades iniciales de evaluación de riesgos. Las evaluaciones de riesgos
realizadas para respaldar el desarrollo de arquitecturas de soluciones o segmentos también pueden servir como fuentes de información para la
identificación de amenazas y vulnerabilidades. Otro factor que influye en la identificación de amenazas y vulnerabilidades es la cultura organizacional.
Las organizaciones que promueven comunicaciones libres y abiertas y la no retribución por compartir información adversa tienden a fomentar una
mayor apertura de las personas que trabajan dentro de esas organizaciones. Con frecuencia, el personal organizacional que opera en los Niveles 2 y 3
tiene información valiosa y puede hacer contribuciones significativas en el área de identificación de amenazas y vulnerabilidades. La cultura de las
organizaciones influye en la disposición del personal para comunicar información sobre amenazas y vulnerabilidades potenciales, lo que en última
instancia afecta la calidad y cantidad de las amenazas/vulnerabilidades identificadas.
CAPÍTULO 3 PÁGINA 39
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
DETERMINACIÓN DE RIESGO
TAREA 2-2:Determinar el riesgo para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación si las
amenazas identificadas explotan las vulnerabilidades identificadas.
Orientación complementaria:Las organizaciones determinan el riesgo considerando la probabilidad de que las amenazas conocidas aprovechen las vulnerabilidades conocidas y las consecuencias resultantes o los impactos adversos (es decir, la magnitud del
daño) si se producen dichas explotaciones. Las organizaciones utilizan información sobre amenazas y vulnerabilidades junto con información sobre probabilidad y consecuencias/impacto para determinar el riesgo cualitativa o cuantitativamente. Las
organizaciones pueden emplear una variedad de enfoques para determinar la probabilidad de que las amenazas exploten las vulnerabilidades. Las determinaciones de probabilidad pueden basarse en suposiciones de amenazas o en información real sobre
amenazas (p. ej., datos históricos sobre ataques cibernéticos, datos históricos sobre terremotos o información específica sobre las capacidades, intenciones y objetivos del adversario). Cuando se dispone de información específica y creíble sobre amenazas (p. ej.,
tipos de ataques cibernéticos, tendencias de ataques cibernéticos, frecuencias de ataques), las organizaciones pueden usar datos empíricos y análisis estadísticos para determinar probabilidades más específicas de que ocurran amenazas. La evaluación de la
probabilidad también puede verse influida por si la identificación de la vulnerabilidad se produjo en el nivel de debilidad o deficiencia individual o en el nivel de causa raíz. La relativa facilidad/dificultad de la explotación de vulnerabilidades, la sofisticación de los
adversarios y la naturaleza de los entornos operativos influyen en la probabilidad de que las amenazas exploten las vulnerabilidades. Las organizaciones pueden caracterizar los impactos adversos por objetivo de seguridad (p. ej., pérdida de confidencialidad,
integridad o disponibilidad). Sin embargo, para maximizar la utilidad, el impacto adverso se expresa o se traduce en términos de misiones organizacionales, funciones comerciales y partes interesadas. las organizaciones pueden usar datos empíricos y análisis
estadísticos para determinar probabilidades más específicas de que ocurran amenazas. La evaluación de la probabilidad también puede verse influida por si la identificación de la vulnerabilidad se produjo en el nivel de debilidad o deficiencia individual o en el
nivel de causa raíz. La relativa facilidad/dificultad de la explotación de vulnerabilidades, la sofisticación de los adversarios y la naturaleza de los entornos operativos influyen en la probabilidad de que las amenazas exploten las vulnerabilidades. Las organizaciones
pueden caracterizar los impactos adversos por objetivo de seguridad (p. ej., pérdida de confidencialidad, integridad o disponibilidad). Sin embargo, para maximizar la utilidad, el impacto adverso se expresa o se traduce en términos de misiones organizacionales,
funciones comerciales y partes interesadas. las organizaciones pueden usar datos empíricos y análisis estadísticos para determinar probabilidades más específicas de que ocurran amenazas. La evaluación de la probabilidad también puede verse influida por si la
identificación de la vulnerabilidad se produjo en el nivel de debilidad o deficiencia individual o en el nivel de causa raíz. La relativa facilidad/dificultad de la explotación de vulnerabilidades, la sofisticación de los adversarios y la naturaleza de los entornos operativos
influyen en la probabilidad de que las amenazas exploten las vulnerabilidades. Las organizaciones pueden caracterizar los impactos adversos por objetivo de seguridad (p. ej., pérdida de confidencialidad, integridad o disponibilidad). Sin embargo, para maximizar
la utilidad, el impacto adverso se expresa o se traduce en términos de misiones organizacionales, funciones comerciales y partes interesadas.
La guía organizacional para determinar el riesgo bajo incertidumbre indica cómo las combinaciones de probabilidad e impacto se combinan en una
determinación del nivel de riesgo o puntaje/calificación de riesgo. Las organizaciones necesitan comprender el tipo y la cantidad de incertidumbre que
rodea las decisiones de riesgo para que las determinaciones de riesgo puedan entenderse. Durante el paso de enmarcar el riesgo, las organizaciones
pueden haber brindado orientación sobre cómo analizar el riesgo y cómo determinar el riesgo cuando existe un alto grado de incertidumbre. La
incertidumbre es particularmente preocupante cuando la evaluación de riesgos considera amenazas persistentes avanzadas, para las cuales puede ser
necesario un análisis de las vulnerabilidades que interactúan, el cuerpo común de conocimiento es escaso y el comportamiento pasado puede no ser
predictivo.
Si bien las determinaciones de amenazas y vulnerabilidades se aplican con frecuencia a las misiones y
funciones comerciales, los requisitos específicos asociados con las misiones/funciones comerciales,
incluidos los entornos de operación, pueden generar resultados de evaluación diferentes. Las diferentes
misiones, funciones comerciales y entornos de operación pueden dar lugar a diferencias en la aplicabilidad
de la información sobre amenazas específicas considerada y la probabilidad de que las amenazas causen
un daño potencial. Comprender el componente de amenaza de la evaluación de riesgos requiere conocer
las amenazas particulares que enfrentan misiones o funciones comerciales específicas. Tal conocimiento de
las amenazas incluye la comprensión de la capacidad, la intención y el objetivo de adversarios particulares.
Incluso con el establecimiento de criterios explícitos, las evaluaciones de riesgos están influenciadas por la cultura organizacional y las experiencias
personales y el conocimiento acumulado de las personas que realizan las evaluaciones. Como resultado, los evaluadores de riesgos pueden llegar a
diferentes conclusiones a partir de la misma información. Esta diversidad de perspectivas puede enriquecer el proceso de evaluación de riesgos y
proporcionar a los responsables de la toma de decisiones una mayor variedad de información y potencialmente menos sesgos. Sin embargo, tal
diversidad también puede conducir a evaluaciones de riesgo que sean inconsistentes. Los procesos definidos y aplicados por la organización
proporcionan los medios para identificar prácticas inconsistentes e incluyen procesos para identificar y resolver dichas inconsistencias.
CAPÍTULO 3 PÁGINA 40
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
comunicada a los tomadores de decisiones responsables de la respuesta al riesgo. En ciertas situaciones, hay ciclos recurrentes entre el paso
de evaluación de riesgos y el paso de respuesta al riesgo hasta que se logran objetivos particulares. Según el curso de acción seleccionado
durante el paso de respuesta al riesgo, es posible que quede algo de riesgo residual. En determinadas circunstancias, el nivel de riesgo
residual podría desencadenar una reevaluación del riesgo. Esta reevaluación suele ser incremental (evaluando solo la nueva información) y
diferencial (evaluando cómo la nueva información cambia la determinación general del riesgo).
La agregación de los resultados de la evaluación de riesgos de los tres niveles impulsa la gestión de las carteras de riesgos
emprendidas por las organizaciones. Los riesgos identificados comunes a más de una misión/función comercial dentro de
las organizaciones también pueden ser la fuente de futuras actividades de evaluación en el Nivel 1, como el análisis de
causa raíz. Obtener una mejor comprensión de las razones por las que ciertos riesgos son más comunes o frecuentes
ayuda a los responsables de la toma de decisiones a seleccionar respuestas de riesgo que aborden los problemas
subyacentes (o causa raíz) en lugar de centrarse únicamente en los problemas superficiales que rodean la existencia de los
riesgos. Los resultados de las evaluaciones de riesgos también pueden dar forma a futuras decisiones de diseño y
desarrollo relacionadas con la arquitectura empresarial (incluida la arquitectura de seguridad de la información integrada)
y los sistemas de información organizativos.
Los resultados del paso de evaluación de riesgos pueden ser insumos útiles para los pasos de encuadre y monitoreo de riesgos. Por ejemplo, las
determinaciones de riesgo pueden resultar en la revisión de la tolerancia al riesgo organizacional establecida durante el paso de elaboración del marco
de riesgo. Las organizaciones también pueden optar por utilizar la información del paso de evaluación de riesgos para informar el paso de monitoreo
de riesgos. Por ejemplo, las evaluaciones de riesgos pueden incluir recomendaciones para monitorear elementos específicos de riesgo (p. ej., fuentes de
amenazas) para que, si se cruzan ciertos umbrales, los resultados de evaluaciones de riesgos anteriores puedan revisarse y actualizarse, según
corresponda. Los umbrales particulares establecidos como parte de los programas de monitoreo de riesgos también pueden servir como base para las
evaluaciones de riesgos. Si las organizaciones establecen criterios como parte del paso de enmarcar el riesgo para cuando los resultados de la
evaluación del riesgo no justifiquen las respuestas al riesgo,
Los aportes de la evaluación de riesgos y los pasos del marco de riesgos incluyen: (i) identificación de fuentes de amenazas y eventos de
amenazas; (ii) identificación de vulnerabilidades que son objeto de explotación; (iii) estimaciones de posibles consecuencias y/o impacto si
63ACurso de acciónes una combinación de medidas de respuesta al riesgo escalonada en el tiempo o dependiente de la situación. Amedida de respuesta
al riesgoes una acción específica tomada para responder a un riesgo identificado. Las medidas de respuesta al riesgo se pueden gestionar por separado
y pueden incluir, por ejemplo, la implementación de controles de seguridad para mitigar el riesgo, la promulgación de políticas de seguridad para evitar
el riesgo o para aceptar el riesgo en circunstancias específicas y acuerdos organizacionales para compartir o transferir el riesgo.
CAPÍTULO 3 PÁGINA 41
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
las amenazas aprovechan las vulnerabilidades; (iv) estimaciones de probabilidad de que las amenazas aprovechen las
vulnerabilidades; (v) una determinación de riesgo para las operaciones de la organización (es decir, misión, funciones, imagen y
reputación), activos de la organización, individuos, otras organizaciones y la Nación; (vi) orientación de respuesta al riesgo de la
estrategia de gestión de riesgos de la organización (consulte el Apéndice H); y (vii) las directrices organizativas generales y la
orientación sobre las respuestas apropiadas al riesgo. Además de los pasos de evaluación de riesgos y encuadre de riesgos, el paso
de respuesta al riesgo puede recibir información del paso de monitoreo de riesgos (p. ej., cuando las organizaciones experimentan
una violación o un compromiso en sus sistemas de información o entornos de operación que requieren una respuesta inmediata
para abordar el incidente). y reducir el riesgo adicional que resulta del evento). El paso de respuesta al riesgo también puede recibir
información del paso de elaboración del riesgo (p. ej., cuando las organizaciones deben implementar nuevas medidas de seguridad
y contramedidas en sus sistemas de información en función de los requisitos de seguridad de la nueva legislación o las políticas de
la OMB). El paso de enmarcar el riesgo también da forma directamente a las restricciones de recursos asociadas con la selección de
un curso de acción apropiado. Las condiciones previas adicionales establecidas en el paso del marco de riesgo pueden incluir: (i)
restricciones basadas en la arquitectura y las inversiones previas; (ii) preferencias y tolerancias organizacionales; (iii) la efectividad
esperada para mitigar el riesgo (incluyendo cómo se mide y monitorea la efectividad); y (iv) el horizonte temporal del riesgo (p. ej.,
riesgo actual, riesgo proyectado, es decir,
Ocupaciones
TAREA 3-1:Identificar cursos de acción alternativos para responder al riesgo determinado durante la evaluación de riesgos.
Orientación complementaria:Las organizaciones pueden responder al riesgo de diversas formas. Estos incluyen: (i) aceptación del riesgo; (ii)
prevención de riesgos; (iii) mitigación de riesgos; (iv) riesgo compartido; (v) transferencia de riesgos; o (vi) una combinación de los anteriores. Un curso
de acción es una combinación de medidas de respuesta al riesgo en fases temporales o dependientes de la situación. Por ejemplo, en una situación de
emergencia, las organizaciones pueden aceptar el riesgo asociado con la conexión sin filtrar a un proveedor de comunicaciones externo por un tiempo
limitado; luego evite el riesgo cortando la conexión; mitigar el riesgo a corto plazo mediante la aplicación de controles de seguridad para buscar
malware o evidencia de acceso no autorizado a la información que ocurrió durante el período de conexión sin filtrar; y finalmente mitigar el riesgo a
largo plazo mediante la aplicación de controles para manejar dichas conexiones de manera más segura.
Aceptación de riesgos
La aceptación del riesgo es la respuesta adecuada al riesgo cuando el riesgo identificado se encuentra dentro de la tolerancia al riesgo de la
organización. Las organizaciones pueden aceptar riesgos que se consideren bajos, moderados o altos según situaciones o condiciones
particulares. Por ejemplo, las organizaciones con centros de datos que residen en la parte noreste de los Estados Unidos pueden optar por
aceptar el riesgo de terremotos según la probabilidad conocida de terremotos y la vulnerabilidad del centro de datos a daños por terremotos.
Las organizaciones aceptan el hecho de que los terremotos son posibles, pero dada la poca frecuencia de grandes terremotos en esa región
del país, creen que no es rentable abordar ese riesgo, es decir, las organizaciones han determinado que el riesgo asociado con los terremotos
es bajo. En cambio, las organizaciones pueden aceptar un riesgo sustancialmente mayor (en el rango moderado/alto) debido a una misión,
negocio o necesidades operativas apremiantes. Por ejemplo, las agencias federales pueden decidir compartir información muy confidencial
con los socorristas que normalmente no tienen acceso a dicha información debido a necesidades urgentes para detener ataques terroristas
pendientes, aunque la información en sí misma no sea perecedera con respecto al riesgo por pérdida. de confidencialidad. Las
organizaciones generalmente toman determinaciones con respecto al nivel general de riesgo aceptable y los tipos de riesgo aceptable
considerando las prioridades organizacionales y las compensaciones entre: (i) la misión a corto plazo/necesidades comerciales y el potencial
de impactos a largo plazo en la misión/negocio; y (ii) los intereses de la organización y los impactos potenciales sobre los individuos, otras
organizaciones,
Evitación de riesgo
Evitar el riesgo puede ser la respuesta adecuada al riesgo cuando el riesgo identificado excede la tolerancia al riesgo de la organización. Las
organizaciones pueden realizar ciertos tipos de actividades o emplear ciertos tipos de tecnologías de la información que resulten en un
riesgo inaceptable. En tales situaciones, la prevención de riesgos implica tomar medidas específicas para eliminar las actividades o
tecnologías que son la base del riesgo o revisar o reposicionar estas actividades o tecnologías en la misión de la organización/procesos
comerciales para evitar la posibilidad de un riesgo inaceptable. Por ejemplo, las organizaciones que planean emplear conexiones en red
entre dos dominios pueden determinar mediante evaluaciones de riesgo que existe un riesgo inaceptable al establecer tales conexiones. Las
organizaciones también pueden determinar que implementar salvaguardas y contramedidas efectivas (p. soluciones de dominios cruzados)
no es práctico en las circunstancias dadas. Por lo tanto, las organizaciones deciden evitar el riesgo eliminando las conexiones electrónicas o
en red y empleando un "espacio de aire" con procesos de conexión manual (por ejemplo, transferencias de datos por dispositivos de
almacenamiento secundario).
Mitigación de riesgos
La mitigación del riesgo, o la reducción del riesgo, es la respuesta adecuada al riesgo para esa parte del riesgo que no puede aceptarse,
evitarse, compartirse o transferirse. Las alternativas para mitigar el riesgo dependen de: (i) el nivel de gestión del riesgo y el alcance
CAPÍTULO 3 PÁGINA 42
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
de las decisiones de respuesta al riesgo asignadas o delegadas a los funcionarios de la organización en ese nivel (definido
por las estructuras de gobierno de la organización); y (ii) la estrategia de gestión de riesgos de la organización y las
estrategias de respuesta a los riesgos asociados. Los medios utilizados por las organizaciones para mitigar el riesgo
pueden implicar una combinación de medidas de respuesta al riesgo en los tres niveles. Por ejemplo, la mitigación de
riesgos puede incluir controles de seguridad comunes en el Nivel 1, reingeniería de procesos en el Nivel 2 y/o
salvaguardias o contramedidas de gestión, operativas o técnicas nuevas o mejoradas (o alguna combinación de las tres)
en el Nivel 3. Otro Se puede ilustrar un ejemplo de un riesgo potencial que requiere mitigación cuando los adversarios
obtienen acceso a dispositivos móviles (por ejemplo, computadoras portátiles o asistentes digitales personales) mientras
los usuarios están viajando. Las posibles medidas de mitigación de riesgos incluyen,
Compartir el riesgo o transferir el riesgo es la respuesta adecuada al riesgo cuando las organizaciones desean y tienen los medios para transferir la
responsabilidad y responsabilidad del riesgo a otras organizaciones. La transferencia de riesgos transfiere toda la responsabilidad por el riesgo de una
organización a otra (p. ej., el uso de seguros para transferir el riesgo de organizaciones particulares a las compañías de seguros). El riesgo compartido
transfiere una parte de la responsabilidad del riesgo a otras organizaciones (por lo general, organizaciones que están más calificadas para abordar el
riesgo). Es importante señalar que la transferencia de riesgos no reduce la probabilidad de que ocurran eventos dañinos ni las consecuencias en
términos de daño a las operaciones y activos organizacionales, individuos, otras organizaciones o la Nación. Compartir el riesgo puede ser compartir la
responsabilidad o compartir la responsabilidad de otros, respuestas adecuadas al riesgo, como la mitigación. Por lo tanto, el concepto de transferencia
de riesgo es menos aplicable en el sector público (por ejemplo, gobiernos federales, estatales y locales) que en el sector privado, ya que la
responsabilidad de las organizaciones generalmente se establece por legislación o política. Como tal, las transferencias de riesgo por iniciativa propia
de las organizaciones del sector público (tal como se tipifica en la compra de un seguro) generalmente no son posibles. El riesgo compartido a menudo
ocurre cuando las organizaciones determinan que abordar el riesgo requiere experiencia o recursos que son mejor proporcionados por otras
organizaciones. Por ejemplo, un riesgo identificado podría ser la penetración física de perímetros y ataques cinéticos por parte de grupos terroristas. La
organización decide asociarse con otra organización que comparte las instalaciones físicas para asumir la responsabilidad conjunta de abordar el riesgo
de los ataques cinéticos.
EVALUACIÓN DE ALTERNATIVAS
Orientación complementaria:La evaluación de cursos de acción alternativos puede incluir: (i) la efectividad esperada para lograr la
respuesta de riesgo deseada (y cómo se mide y monitorea la efectividad); y (ii) la factibilidad anticipada de implementación, incluyendo, por
ejemplo, el impacto de la misión/negocio, las consideraciones políticas, legales, sociales, financieras, técnicas y económicas. Las
consideraciones económicas incluyen costos a lo largo del período de tiempo esperado durante el cual se sigue el curso de acción (p. ej.,
costo de adquisición, integración en procesos organizacionales en el Nivel 1 y/o Nivel 2, sistemas de información en el Nivel 3, capacitación y
mantenimiento). Durante la evaluación de cursos de acción alternativos, Se pueden hacer explícitas las compensaciones entre las ganancias a
corto plazo en la eficacia o eficiencia de la misión/negocio y el riesgo a largo plazo de daño a la misión/negocio debido al compromiso de la
información o los sistemas de información que brindan este beneficio a corto plazo. Por ejemplo, las organizaciones preocupadas por la
posibilidad de que los dispositivos móviles (por ejemplo, computadoras portátiles) se vean comprometidos mientras los empleados están de
viaje pueden evaluar varios cursos de acción que incluyen: (i) proporcionar computadoras portátiles limpias a los usuarios que viajan a áreas
de alto riesgo; (ii) quitar discos duros de computadoras portátiles y operar desde CD o DVD; o (iii) hacer que las computadoras portátiles
pasen por una evaluación detallada antes de que se les permita conectarse a las redes organizacionales. La primera opción es muy efectiva
ya que las computadoras portátiles que regresan nunca se conectan a las redes organizacionales. Si bien la segunda opción garantiza que los
discos duros no se dañen, no es tan eficaz porque aún es posible que los dispositivos de hardware (por ejemplo, las placas base) se hayan
visto comprometidos. La eficacia de la tercera opción está limitada por la capacidad de las organizaciones para detectar la posible inserción
de malware en el hardware, el firmware o el software. Como tal, es la menos efectiva de las tres opciones. Desde una perspectiva de costos,
la primera opción es potencialmente la más costosa, según la cantidad de viajeros (por lo tanto, la cantidad de computadoras portátiles de
viaje) requeridas. La segunda y tercera opciones son considerablemente menos costosas. Desde una perspectiva operativa y de misión, la
tercera opción es la mejor alternativa ya que los usuarios tienen acceso a configuraciones estándar de portátiles que incluyen todas las
aplicaciones y datos de apoyo necesarios para realizar tareas de apoyo a misiones y funciones comerciales. Dichas aplicaciones y datos no
estarían disponibles si se selecciona la primera o la segunda opción. En última instancia, la evaluación de los cursos de acción se realiza en
función de los requisitos operativos, incluidos los requisitos de seguridad de la información, necesarios para el éxito comercial o de la misión
a corto y largo plazo. Las restricciones presupuestarias, la coherencia con las estrategias de gestión de inversiones, las libertades civiles y la
protección de la privacidad son algunos de los elementos importantes que las organizaciones tienen en cuenta al seleccionar los cursos de
acción adecuados. En aquellos casos en que las organizaciones solo identifiquen un solo curso de acción, luego la evaluación se enfoca en si
el curso de acción es adecuado. Si el curso de acción se considera inadecuado, las organizaciones deben perfeccionar el curso de acción
identificado para abordar las deficiencias o desarrollar otro curso de acción (consulte la Tarea 3-1).
En resumen, se lleva a cabo una compensación de riesgo versus riesgo-respuesta para cada curso de acción para proporcionar la información
necesaria para: (i) seleccionar entre los cursos de acción; y (ii) evaluar los cursos de acción en términos de efectividad de la respuesta, costos, impacto
en la misión/negocio y cualquier otro factor que se considere relevante para las organizaciones. parte del riesgo
CAPÍTULO 3 PÁGINA 43
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
frente a la compensación riesgo-respuesta considera la cuestión de los recursos que compiten. Desde una perspectiva
organizacional, esto significa que las organizaciones consideran si el costo (por ejemplo, dinero, personal, tiempo) para
implementar un curso de acción determinado tiene el potencial de afectar negativamente otras misiones o funciones
comerciales y, de ser así, en qué medida. Esto es necesario porque las organizaciones tienen recursos finitos para emplear
y muchas misiones/funciones comerciales en competencia en muchos elementos organizacionales. Por lo tanto, las
organizaciones evalúan el valor general de los cursos de acción alternativos con respecto a las misiones/funciones
comerciales y el riesgo potencial para cada elemento organizacional. Las organizaciones pueden determinar que,
independientemente de una misión/función comercial en particular y la validez del riesgo asociado,
Orientación complementaria:Las decisiones sobre el curso de acción más apropiado incluyen alguna forma de priorización. Algunos riesgos pueden ser
más preocupantes que otros riesgos. En ese caso, es posible que sea necesario destinar más recursos a abordar los riesgos de mayor prioridad que a
otros riesgos de menor prioridad. Esto no significa necesariamente que no se aborden los riesgos de menor prioridad. Más bien, podría significar que se
podrían dirigir menos recursos a los riesgos de menor prioridad (al menos inicialmente), o que los riesgos de menor prioridad se abordarían en un
momento posterior. Una parte clave del proceso de decisión de riesgo es el reconocimiento de que, independientemente de la decisión, todavía queda
un grado de riesgo residual que debe abordarse. Las organizaciones determinan los grados aceptables de riesgo residual con base en la tolerancia al
riesgo organizacional y las tolerancias al riesgo específicas de los tomadores de decisiones particulares. Algunos de los conceptos más intangibles
relacionados con el riesgo (p. ej., tolerancia al riesgo, confianza y cultura) influyen en el proceso de decisión. Las creencias y enfoques específicos que
adoptan las organizaciones con respecto a estos conceptos relacionados con el riesgo afectan el curso de acción seleccionado por los tomadores de
decisiones.
Orientación complementaria:Una vez que se selecciona un curso de acción, las organizaciones implementan la respuesta al riesgo asociado. Dado el
tamaño y la complejidad de algunas organizaciones, la implementación real de las medidas de respuesta al riesgo puede ser un desafío. Algunas
medidas de respuesta al riesgo son de naturaleza táctica (p. ej., la aplicación de parches a las vulnerabilidades identificadas en los sistemas de
información de la organización) y pueden implementarse con bastante rapidez. Otras medidas de respuesta al riesgo pueden ser de naturaleza más
estratégica y reflejar soluciones que requieren mucho más tiempo para implementarse. Por lo tanto, las organizaciones aplican y adaptan según
corresponda a un curso de acción específico de respuesta al riesgo, las consideraciones de implementación de la respuesta al riesgo en las estrategias de
respuesta al riesgo (parte de la estrategia de gestión del riesgo desarrollada durante el paso de elaboración del riesgo). Consulte el Apéndice H,
Estrategias de respuesta al riesgo.
Además del paso de monitoreo de riesgos, los resultados del paso de respuesta al riesgo pueden ser insumos útiles para los pasos
de encuadre y evaluación de riesgos. Por ejemplo, es posible que el análisis que ocurre durante la evaluación de cursos de acción
alternativos pueda cuestionar algunos aspectos de la estrategia de respuesta al riesgo que es parte de la estrategia de gestión del
riesgo generada durante el paso de elaboración del marco del riesgo. En tales casos, las organizaciones usan esa información para
informar el paso de encuadre de riesgo con las acciones apropiadas tomadas para revisar la estrategia de gestión de riesgo y su
estrategia de respuesta de riesgo asociada. Las organizaciones también pueden determinar durante la evaluación de cursos de
acción alternativos para la respuesta al riesgo, que algunos aspectos de las evaluaciones de riesgo están incompletos o son
incorrectos.
CAPÍTULO 3 PÁGINA 44
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
El monitoreo de riesgos proporciona a las organizaciones los medios para: (i) verificarcumplimiento;64(ii) determinar el
cursoeficaciade medidas de respuesta al riesgo; y (iii) identificar riesgos que impactencambiosa los sistemas de
información organizacionales y ambientes de operación. El análisis de los resultados del monitoreo brinda a las
organizaciones la capacidad de mantener la conciencia del riesgo en el que se incurre, resaltar la necesidad de revisar
otros pasos en el proceso de gestión de riesgos e iniciar actividades de mejora del proceso según sea necesario.sesenta y cinco
Las organizaciones emplean herramientas, técnicas y procedimientos de monitoreo de riesgos para aumentar la
conciencia del riesgo, ayudando a los líderes/ejecutivos senior a desarrollar una mejor comprensión del riesgo continuo
para las operaciones y los activos de la organización, las personas, otras organizaciones y la Nación. Las organizaciones
pueden implementar el monitoreo de riesgos en cualquiera de los niveles de gestión de riesgos con diferentes objetivos y
utilidad de la información producida. Por ejemplo, las actividades de monitoreo de Nivel 1 pueden incluir evaluaciones
continuas de amenazas y cómo los cambios en el espacio de amenazas pueden afectar las actividades de Nivel 2 y Nivel 3,
incluidas las arquitecturas empresariales (con arquitecturas de seguridad de la información integradas) y los sistemas de
información organizacionales. Las actividades de monitoreo de Nivel 2 pueden incluir, por ejemplo, análisis de tecnologías
nuevas o actuales, ya sea en uso o consideradas para uso futuro por parte de las organizaciones para identificar
debilidades y/o deficiencias explotables en esas tecnologías que pueden afectar la misión/el éxito empresarial. Las
actividades de monitoreo de nivel 3 se enfocan en los sistemas de información y pueden incluir, por ejemplo, el monitoreo
automatizado de los parámetros de configuración estándar para los productos de tecnología de la información, el escaneo
de vulnerabilidades y las evaluaciones continuas de los controles de seguridad. Además de decidir sobre las actividades de
monitoreo apropiadas en todos los niveles de gestión de riesgos, las organizaciones también deciden cómo se llevará a
cabo el monitoreo (p. ej., enfoques automáticos o manuales) y la frecuencia de las actividades de monitoreo en función,
por ejemplo, de la frecuencia con la que se implementaron los controles de seguridad. cambio, elementos críticos en los
planes de acción e hitos,
Las entradas a este paso incluyen estrategias de implementación para cursos de acción seleccionados para respuestas a riesgos y la implementación real
de cursos de acción seleccionados. Además del paso de respuesta al riesgo, el paso de seguimiento del riesgo puede recibir información del paso de
elaboración del riesgo (p. ej., cuando las organizaciones se dan cuenta de una amenaza persistente avanzada que refleja un cambio en los supuestos de
la amenaza, esto puede dar lugar a un cambio en la frecuencia del seguimiento). sobre las actividades de seguimiento). El paso de enmarcar el riesgo
también da forma directamente a las restricciones de recursos asociadas con el establecimiento e implementación de una estrategia de monitoreo en
toda la organización. En algunos casos, los resultados del paso de evaluación de riesgos pueden ser insumos útiles para el paso de monitoreo de riesgos.
Por ejemplo, las condiciones de umbral de evaluación de riesgos (p. ej., probabilidad de que las amenazas aprovechen las vulnerabilidades) podría ser
una entrada para el paso de monitoreo de riesgos. A su vez, las organizaciones podrían monitorear para determinar si se cumplen dichas condiciones de
umbral. Si se cumplen las condiciones de umbral, dicha información podría usarse en el paso de evaluación de riesgos, donde podría servir como base
para una evaluación de riesgos incremental y diferencial o una reevaluación general del riesgo para la organización.
Ocupaciones
TAREA 4-1:Desarrollar una estrategia de monitoreo de riesgos para la organización que incluya el propósito, el tipo y la
frecuencia de las actividades de monitoreo.
64La verificación del cumplimiento garantiza que las organizaciones hayan implementado las medidas de respuesta al riesgo requeridas y que se
cumplan los requisitos de seguridad de la información derivados y trazables de las misiones/funciones comerciales de la organización, la legislación
federal, las directivas, los reglamentos, las políticas y los estándares/directrices.
sesenta y cincoEl borrador de la publicación especial NIST 800-137 brinda orientación sobre el monitoreo de los sistemas de información organizacional y
los entornos de operación.
CAPÍTULO 3 PÁGINA 45
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Orientación complementaria:Las organizaciones implementan programas de monitoreo de riesgos: (i) para verificar que se
implementen las medidas de respuesta a los riesgos requeridas y que se cumplan los requisitos de seguridad de la información
derivados de las misiones/funciones comerciales de la organización, la legislación federal, las directivas, los reglamentos, las
políticas y los estándares/directrices, y que sean rastreables a ellos. (seguimiento del cumplimiento); (ii) para determinar la
efectividad continua de las medidas de respuesta al riesgo después de que se hayan implementado las medidas (seguimiento de la
eficacia); y (iii) identificar cambios en los sistemas de información de la organización y los entornos en los que operan los sistemas
que puedan afectar el riesgo (control de cambios) incluidos los cambios en la viabilidad de la aplicación continua de las medidas de
respuesta al riesgo). Determinar el propósito de los programas de monitoreo de riesgos impacta directamente los medios
utilizados por las organizaciones para realizar las actividades de monitoreo y dónde ocurre el monitoreo (es decir, en qué niveles de
gestión de riesgos). Las organizaciones también determinan el tipo de monitoreo que se empleará, incluidos los enfoques que se
basan en la automatización o los enfoques que se basan en actividades procedimentales/manuales con intervención humana.
Finalmente, las organizaciones determinan con qué frecuencia se realizan las actividades de monitoreo, equilibrando el valor
obtenido del monitoreo frecuente con el potencial de interrupciones operativas debido, por ejemplo, a la interrupción de la misión/
procesos comerciales, la reducción del ancho de banda operativo durante el monitoreo y el cambio de recursos de operaciones a
monitoreo.
El monitoreo del cumplimiento se emplea para garantizar que las organizaciones estén implementando las medidas de respuesta al riesgo necesarias. Esto incluye garantizar que las medidas de respuesta al riesgo seleccionadas e
implementadas por las organizaciones en respuesta a las determinaciones de riesgo producidas a partir de las evaluaciones de riesgo se implementen correctamente y funcionen según lo previsto. La falta de implementación de
las medidas de respuesta al riesgo seleccionadas por las organizaciones puede resultar en que las organizaciones continúen estando sujetas al riesgo identificado. El monitoreo del cumplimiento también incluye garantizar que se
implementen las medidas de respuesta al riesgo requeridas por los mandatos federales (p. ej., legislación, directivas, políticas, regulaciones, estándares) o los mandatos organizacionales (p. ej., políticas locales, procedimientos,
misión/requisitos comerciales). El monitoreo de cumplimiento es el tipo de monitoreo más fácil de realizar porque generalmente hay un conjunto finito de medidas de respuesta al riesgo empleadas por las organizaciones,
generalmente en forma de controles de seguridad. Tales medidas suelen estar bien definidas y articuladas como resultado del paso de respuesta al riesgo. La parte más desafiante del monitoreo del cumplimiento es evaluar si las
medidas de respuesta al riesgo se implementan correctamente (y en algunos casos de manera continua). El monitoreo del cumplimiento también incluye, en la medida de lo posible, un análisis de por qué falló el cumplimiento. El
motivo de la falta de cumplimiento puede variar desde que las personas no hagan su trabajo correctamente hasta que la medida de respuesta al riesgo no funcione según lo previsto. Si el monitoreo indica una falla en el
cumplimiento, entonces se revisa el paso de respuesta del proceso de gestión de riesgos. Un elemento clave de la retroalimentación del paso de respuesta es el hallazgo del monitoreo del cumplimiento que indica el motivo de la
falla en el cumplimiento. En algunos casos, las fallas de cumplimiento se pueden corregir simplemente volviendo a implementar las mismas medidas de respuesta al riesgo con poco o ningún cambio. Pero en otros casos, las fallas
de cumplimiento son más complicadas (por ejemplo, las medidas de respuesta al riesgo seleccionadas son demasiado difíciles de implementar o las medidas no funcionaron como se esperaba). En tales casos, puede ser necesario
que las organizaciones regresen a las porciones de evaluación y decisión del paso de respuesta al riesgo para desarrollar diferentes medidas de respuesta al riesgo. las fallas de cumplimiento se pueden solucionar simplemente
volviendo a implementar las mismas medidas de respuesta al riesgo con poco o ningún cambio. Pero en otros casos, las fallas de cumplimiento son más complicadas (por ejemplo, las medidas de respuesta al riesgo seleccionadas
son demasiado difíciles de implementar o las medidas no funcionaron como se esperaba). En tales casos, puede ser necesario que las organizaciones regresen a las porciones de evaluación y decisión del paso de respuesta al
riesgo para desarrollar diferentes medidas de respuesta al riesgo. las fallas de cumplimiento se pueden solucionar simplemente volviendo a implementar las mismas medidas de respuesta al riesgo con poco o ningún cambio. Pero
en otros casos, las fallas de cumplimiento son más complicadas (por ejemplo, las medidas de respuesta al riesgo seleccionadas son demasiado difíciles de implementar o las medidas no funcionaron como se esperaba). En tales
casos, puede ser necesario que las organizaciones regresen a las porciones de evaluación y decisión del paso de respuesta al riesgo para desarrollar diferentes medidas de respuesta al riesgo.
Supervisión de la eficacia
Las organizaciones emplean el monitoreo de la efectividad para determinar si las medidas de respuesta al riesgo implementadas han sido
realmente efectivas para reducir el riesgo identificado al nivel deseado. Aunque el seguimiento de la eficacia es diferente del seguimiento del
cumplimiento, el hecho de no lograr los niveles deseados de eficacia puede ser un indicio de que las medidas de respuesta al riesgo se han
implementado incorrectamente o no están funcionando según lo previsto. Generalmente, determinar la efectividad de las medidas de
respuesta al riesgo es más desafiante que determinar si las medidas se han implementado correctamente y funcionan según lo previsto (es
decir, cumplen con los requisitos de cumplimiento identificados). Las medidas de respuesta al riesgo implementadas correctamente y
operando según lo previsto no garantizan una reducción efectiva del riesgo. Esto se debe principalmente a: (i) la complejidad de los entornos
operativos que pueden generar consecuencias no deseadas; (ii) cambios posteriores en los niveles de riesgo o factores de riesgo asociados
(por ejemplo, amenazas, vulnerabilidades, impacto o probabilidad); (iii) criterios inapropiados o incompletos establecidos como resultado del
paso de respuesta al riesgo; y (iv) cambios en los sistemas de información y entornos de operación luego de la implementación de las
medidas de respuesta al riesgo. Esto es especialmente cierto cuando las organizaciones intentan determinar si se han logrado más
resultados estratégicos y para entornos operativos más dinámicos. Por ejemplo, si el resultado deseado para las organizaciones es ser menos
susceptibles a las amenazas persistentes avanzadas, esto puede ser difícil de medir ya que este tipo de amenazas son, por definición, muy
difíciles de detectar. Incluso cuando las organizaciones pueden establecer criterios de eficacia, a menudo es difícil obtener criterios que sean
cuantificables. Por lo tanto, puede convertirse en una cuestión de juicio subjetivo si las medidas de respuesta al riesgo implementadas son
finalmente efectivas. Además, incluso si se proporcionan criterios de eficacia cuantificables, puede ser difícil determinar si la información
proporcionada cumple con los criterios. Si las organizaciones determinan que las medidas de respuesta al riesgo no son efectivas, entonces
puede ser necesario volver al paso de respuesta al riesgo. Generalmente, para las fallas de efectividad, las organizaciones no pueden
simplemente regresar a la parte de implementación del paso de respuesta al riesgo. Por lo tanto, dependiendo del motivo de la falta de
efectividad, las organizaciones revisan todas las partes del paso de respuesta al riesgo (es decir, desarrollo, evaluación, decisión, e
implementación) y potencialmente el paso de evaluación de riesgos. Estas actividades pueden dar como resultado que las organizaciones
desarrollen e implementen respuestas de riesgo completamente nuevas.
CAPÍTULO 3 PÁGINA 46
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
Supervisión de cambios
Además del monitoreo del cumplimiento y el monitoreo de la efectividad, las organizaciones monitorean los cambios en los sistemas de información de
la organización y los entornos en los que operan esos sistemas. El monitoreo de los cambios en los sistemas de información y ambientes de operación
no está vinculado directamente con las medidas previas de respuesta al riesgo, pero sin embargo es importante para detectar cambios que puedan
afectar el riesgo de las operaciones y activos organizacionales, las personas, otras organizaciones y la Nación. Generalmente, dicho monitoreo detecta
cambios en las condiciones que pueden socavar los supuestos de riesgo (articulados en el paso de encuadre de riesgo).
• Sistema de informacion:Pueden ocurrir cambios en los sistemas de información de la organización (incluidos el hardware, el software y el
firmware) que pueden introducir un nuevo riesgo o cambiar el riesgo existente. Por ejemplo, las actualizaciones del software del sistema
operativo pueden eliminar las capacidades de seguridad que existían en versiones anteriores, introduciendo así nuevas vulnerabilidades en los
sistemas de información de la organización. Otro ejemplo es el descubrimiento de nuevas vulnerabilidades del sistema que quedan fuera del
alcance de las herramientas y los procesos disponibles para abordar dichas vulnerabilidades (por ejemplo, vulnerabilidades para las que no
existen mitigaciones establecidas).
• Ambientes de Operación:Los entornos en los que operan los sistemas de información también pueden cambiar de manera que introduzcan
nuevos riesgos o cambien los riesgos existentes. Las consideraciones ambientales y operativas incluyen, entre otras, misiones/funciones
comerciales, amenazas, vulnerabilidades, misiones/procesos comerciales, instalaciones, políticas, legislación y tecnologías. Por ejemplo, se podrían
aprobar nuevas leyes o reglamentos que impongan requisitos adicionales a las organizaciones. Este cambio podría afectar el riesgo de los
supuestos establecidos por las organizaciones. Otro ejemplo es un cambio en el entorno de amenazas que informa nuevas tácticas, técnicas,
procedimientos o aumentos en las capacidades técnicas de los adversarios. Las organizaciones pueden experimentar reducciones en los recursos
disponibles (p. ej., personal o financiamiento), lo que a su vez da como resultado cambios en las prioridades. Las organizaciones también pueden
experimentar cambios en la propiedad de proveedores externos que podrían afectar el riesgo de la cadena de suministro. Los cambios de misión
pueden requerir que las organizaciones revisen los supuestos de riesgo subyacentes. Por ejemplo, una organización cuya misión es recopilar
información sobre posibles ataques terroristas domésticos y compartir dicha información con las agencias federales de inteligencia y de aplicación
de la ley correspondientes puede cambiar su alcance para que la organización también sea responsable de compartir parte de la información con
los primeros locales. respondedores. Tal cambio podría afectar las suposiciones con respecto a los recursos de seguridad que dichos usuarios
pueden tener a su disposición. Los cambios en la tecnología también pueden afectar los supuestos de riesgo subyacentes establecidos por las
organizaciones. A diferencia de otros tipos de cambio, los cambios tecnológicos pueden ser totalmente independientes de las organizaciones, pero
aún afectan el riesgo que las organizaciones deben abordar. Por ejemplo, las mejoras en el poder de cómputo pueden socavar las suposiciones
con respecto a lo que constituye un medio de autenticación suficientemente sólido (por ejemplo, el número de factores de autenticación) o un
mecanismo criptográfico.
Frecuencia de Monitoreo
La frecuencia del monitoreo de riesgos (ya sea automatizado o manual) está impulsada por las misiones/funciones comerciales de la
organización y la capacidad de las organizaciones de utilizar los resultados del monitoreo para facilitar una mayor conciencia de la situación.
Un mayor nivel de conciencia situacional del estado de seguridad de los sistemas de información de la organización y los entornos de
operación ayuda a las organizaciones a desarrollar una mejor comprensión del riesgo. La frecuencia de monitoreo también depende de otros
factores, por ejemplo: (i) la frecuencia anticipada de los cambios en los sistemas de información organizacional y los entornos operativos; (ii)
el impacto potencial del riesgo si no se aborda adecuadamente a través de medidas de respuesta apropiadas; y (iii) el grado en que está
cambiando el espacio de amenazas. La frecuencia del monitoreo también puede verse afectada por el tipo de monitoreo realizado (es decir,
enfoques automatizados versus procedimentales). Dependiendo de la frecuencia de monitoreo
CAPÍTULO 3 PÁGINA 47
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
requerido por las organizaciones, en la mayoría de las situaciones, el monitoreo es más eficiente y rentable
cuando se emplea la automatización. El monitoreo puede brindar beneficios significativos, especialmente
en situaciones en las que dicho monitoreo limita las oportunidades de que los adversarios se afiancen
dentro de las organizaciones (ya sea a través de los sistemas de información o los entornos en los que
operan esos sistemas). Cuando las organizaciones emplean el monitoreo manual, generalmente no es
eficiente realizar el monitoreo con la frecuencia que permite la automatización. En algunos casos, el
monitoreo poco frecuente no es un problema importante. Por ejemplo, las misiones/funciones comerciales,
las instalaciones, la legislación, las políticas y las tecnologías tienden a cambiar de forma más gradual y,
como tales, no se prestan a un seguimiento frecuente. En lugar de,
SEGUIMIENTO DE RIESGOS
TAREA 4-2:Supervisar los sistemas de información de la organización y los entornos de operación de forma continua para verificar el
cumplimiento, determinar la eficacia de las medidas de respuesta al riesgo e identificar cambios.
Orientación complementaria:Una vez que las organizaciones completan el desarrollo de sus estrategias de monitoreo, las
estrategias se implementan en toda la organización. Debido a que hay tantos aspectos diversos del monitoreo, no todos los
aspectos del monitoreo se pueden realizar, o se pueden realizar en diferentes momentos. Los aspectos particulares del monitoreo
que se realizan están dictados en gran medida por los supuestos, las restricciones, la tolerancia al riesgo y las prioridades/
compensaciones establecidas por las organizaciones durante el paso de elaboración del marco de riesgo. Por ejemplo, si bien las
organizaciones pueden desear realizar todas las formas de monitoreo (es decir, cumplimiento, efectividad y cambio), las
restricciones impuestas a las organizaciones pueden permitir solo el monitoreo del cumplimiento que se puede automatizar
fácilmente en el Nivel 3. Si se pueden implementar múltiples aspectos del monitoreo. ser apoyado,
Como se señaló anteriormente, no todas las actividades de monitoreo se llevan a cabo en los mismos niveles, con
el mismo propósito, al mismo tiempo o utilizando las mismas técnicas. Sin embargo, es importante que las
organizaciones intenten coordinar las diversas actividades de monitoreo. La coordinación de las actividades de
monitoreo facilita el intercambio de información relacionada con el riesgo que puede ser útil para las
organizaciones al proporcionar alertas tempranas, desarrollar información de tendencias o asignar medidas de
respuesta al riesgo de manera oportuna y eficiente. Si el monitoreo no está coordinado, entonces el beneficio del
monitoreo puede verse reducido y podría socavar el esfuerzo general para identificar y abordar el riesgo. En la
medida de lo posible, las organizaciones implementan las diversas actividades de monitoreo de una manera que
maximiza el objetivo general del monitoreo, mirando más allá de los objetivos limitados de las actividades de
monitoreo particulares.
CAPÍTULO 3 PÁGINA 48
Publicación especial 800-39 Administración de riesgos de seguridad de la información
Organización, misión y vista del sistema de información
____________________________________________________________________________________________________________________
APÉNDICE A
REFERENCIAS
LEYES, POLÍTICAS, DIRECTRICES, INSTRUCCIONES, NORMAS Y DIRECTRICES
LEGISLACIÓN
2. Ley Federal de Gestión de la Seguridad de la Información (PL 107-347, Título III), diciembre de 2002.
POLÍTICAS,DIRECTIVAS,INSTRUCCIONES
ESTÁNDARES
PAUTAS
1. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-18, Revisión 1, Guía para
desarrollar planes de seguridad para sistemas de información federales, febrero de 2006.
2. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-30, Revisión 1, Guía para
realizar evaluaciones de riesgos, (Publicación proyectada Primavera 2011).
3. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-37, Revisión 1, Guía para
aplicar el marco de gestión de riesgos a los sistemas de información federales: un enfoque del
ciclo de vida de la seguridad, febrero de 2010.
4. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-53, Revisión 3, Controles
de seguridad recomendados para organizaciones y sistemas de información federales, agosto de
2009.
5. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-53A, Revisión 1, Guía para
evaluar los controles de seguridad en sistemas y organizaciones de información federales:
creación de planes de evaluación de seguridad efectivos, junio de 2010.
6. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-59,Guía para la Identificación de
un Sistema de Información como Sistema de Seguridad Nacional, agosto de 2003.
7. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-60, Revisión 1, Guía para
mapear tipos de información y sistemas de información a categorías de seguridad, agosto de 2008.
8. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-70, Revisión 1, Programa Nacional de
Listas de Verificación para Productos TI - Directrices para Usuarios y Desarrolladores de Listas de Verificación,
septiembre de 2009.
9. Publicación especial del Instituto Nacional de Estándares y Tecnología 800-137, Borrador público
inicial,Monitoreo continuo de seguridad de la información para organizaciones y sistemas de
información federales, diciembre de 2010.
APÉNDICE B
GLOSARIO
TÉRMINOS Y DEFINICIONES COMUNES
T Este apéndice proporciona definiciones para la terminología de seguridad utilizada en la Publicación especial
800-39. Los términos del glosario son coherentes con los términos utilizados en el conjunto de normas y
directrices de seguridad relacionadas con FISMA desarrolladas por NIST. A menos que se indique lo contrario,
todos los términos utilizados en esta publicación también son consistentes con las definiciones contenidas en la
Instrucción CNSS 4009,Glosario de Seguridad Nacional de la Información (IA).
Oficial que autoriza Alto funcionario (federal) o ejecutivo con autoridad para asumir
[CNSSI 4009] formalmente la responsabilidad de operar un sistema de
información a un nivel aceptable de riesgo para las operaciones de
la organización (incluida la misión, las funciones, la imagen o la
reputación), los activos de la organización, las personas, otras
organizaciones y el Nación.
Control común Un control de seguridad que es heredado por uno o más sistemas de
[NIST SP 800-37] información organizacionales. MarHerencia de control de seguridad.
Compensación de Control de Seguridad Un control de gestión, operativo y/o técnico (es decir, salvaguarda o
[CNSSI 4009] contramedida) empleado por una organización en lugar de un
control de seguridad recomendado en las líneas de base baja,
moderada o alta que proporciona una protección equivalente o
comparable para un sistema de información.
Curso de acción (respuesta al riesgo) Una combinación de medidas de respuesta al riesgo escalonada en el tiempo o
dependiente de la situación.
Sistema de Control Industrial Un sistema de información utilizado para controlar procesos industriales
como la fabricación, el manejo de productos, la producción y la
distribución. Los sistemas de control industrial incluyen sistemas de
control de supervisión y adquisición de datos utilizados para controlar
activos dispersos geográficamente, así como sistemas de control
distribuido y sistemas de control más pequeños que utilizan
controladores lógicos programables para controlar procesos
localizados.
Arquitectura de seguridad de la información Una parte integrada e integral de la arquitectura empresarial que
describe la estructura y el comportamiento de los procesos de
seguridad, los sistemas de seguridad de la información, el personal y las
subunidades organizacionales de una empresa, mostrando su alineación
con la misión y los planes estratégicos de la empresa.
Plan del programa de seguridad de la información Documento formal que proporciona una descripción general de los
[NIST SP 800-53] requisitos de seguridad para un programa de seguridad de la
información de toda la organización y describe los controles de
gestión del programa y los controles comunes implementados o
planificados para cumplir con esos requisitos.
Resiliencia del sistema de información La capacidad de un sistema de información para continuar: (i)
operando bajo condiciones adversas o estrés, incluso si se encuentra
en un estado degradado o debilitado, mientras mantiene capacidades
operativas esenciales; y (ii) recuperar una postura operativa efectiva en
un marco de tiempo consistente con las necesidades de la misión.
Riesgos de seguridad relacionados con el Riesgos que surgen por la pérdida de confidencialidad,
sistema de información integridad o disponibilidad de información o sistemas de
información y consideran impactos a la organización
(incluyendo activos, misión, funciones, imagen o
reputación), individuos, otras organizaciones y la Nación.
MarRiesgo.
Plan de Acción e Un documento que identifica las tareas que deben realizarse.
Hitos Detalla los recursos necesarios para lograr los elementos del
[Memorándum OMB 02-01] plan, los hitos en el cumplimiento de las tareas y las fechas de
finalización programadas para los hitos.
Ejecutivo de Riesgos (Función) Un individuo o grupo dentro de una organización que ayuda a
[CNSSI 4009] garantizar que: (i) las consideraciones relacionadas con los riesgos de
seguridad para los sistemas de información individuales, incluidas las
decisiones de autorización para esos sistemas, se vean desde una
perspectiva de toda la organización con respecto a los objetivos
estratégicos generales y objetivos de la organización en el desempeño
de sus misiones y funciones comerciales; y (ii) la gestión del riesgo de
los sistemas de información individuales es consistente en toda la
organización, refleja la tolerancia al riesgo organizacional y se considera
junto con otros riesgos organizacionales que afectan el éxito de la
misión/negocio.
Gestión de riesgos El programa y los procesos de apoyo para gestionar el riesgo de seguridad
[CNSSI 4009, adaptado] de la información para las operaciones de la organización (incluida la
misión, las funciones, la imagen, la reputación), los activos de la
organización, las personas, otras organizaciones y la Nación, e incluye: (i)
establecer el contexto para las actividades relacionadas con el riesgo ; (ii)
evaluación de riesgos; (iii) responder al riesgo una vez determinado; y (iv)
seguimiento del riesgo a lo largo del tiempo.
Monitoreo de Riesgos Mantener una conciencia continua del entorno de riesgo de una
organización, el programa de gestión de riesgos y las actividades
asociadas para respaldar las decisiones de riesgo.
Respuesta a los riesgos Aceptar, evitar, mitigar, compartir o transferir riesgos a las
operaciones de la organización (es decir, misión, funciones,
imagen o reputación), activos de la organización, individuos,
otras organizaciones o la Nación.
Medida de respuesta al riesgo Una acción específica tomada para responder a un riesgo identificado.
Línea base de control de seguridad El conjunto de controles mínimos de seguridad definidos para
[CNSSI 4009] un sistema de información de bajo, moderado o alto impacto.
Plan de seguridad del sistema Documento formal que brinda una descripción general de los
[NIST SP 800-18] requisitos de seguridad para un sistema de información y describe
los controles de seguridad implementados o planeados para
cumplir con esos requisitos.
Control de seguridad específico del sistema Un control de seguridad para un sistema de información que
[NIST SP 800-37] no ha sido designado como control común o la parte de un
control híbrido que se implementará dentro de un sistema de
información.
Línea base de control de seguridad personalizada Un conjunto de controles de seguridad resultantes de la aplicación de una
guía de adaptación a la línea de base del control de seguridad. Mar Sastrería
.
APÉNDICE C
ACRÓNIMOS
ABREVIATURAS COMUNES
CUNAS usar
IA de la Información
NSA Seguridad
SP especial
APÉNDICE D
FUNCIONES Y RESPONSABILIDADES
PARTICIPANTES CLAVE EN EL PROCESO DE GESTIÓN DE RIESGOS
T Las siguientes secciones describen las funciones y responsabilidades66de participantes clave involucrados en el
proceso de gestión de riesgos de una organización.67Reconociendo que las organizaciones tienen misiones y
estructuras organizacionales que varían ampliamente, puede haber diferencias en las convenciones de nombres
para los roles relacionados con la gestión de riesgos y cómo se asignan las responsabilidades específicas entre el personal
de la organización (p. ej., varias personas que desempeñan un solo rol o una persona que desempeña varios roles).68Sin
embargo, las funciones básicas siguen siendo las mismas. La aplicación del proceso de gestión de riesgos en los tres
niveles de gestión de riesgos descritos en esta publicación es flexible, lo que permite a las organizaciones lograr de
manera efectiva la intención de las tareas específicas dentro de sus respectivas estructuras organizativas para gestionar
mejor el riesgo.
Eljefe de agencia(o director ejecutivo) es el funcionario o ejecutivo de más alto nivel dentro de una organización
con la responsabilidad general de proporcionar protecciones de seguridad de la información acordes con el riesgo
y la magnitud del daño (es decir, el impacto) a las operaciones y activos de la organización, individuos, otras
organizaciones, y la Nación como resultado del acceso, uso, divulgación, interrupción, modificación o destrucción
no autorizados de: (i) información recopilada o mantenida por o en nombre de la agencia; y (ii) sistemas de
información utilizados u operados por una agencia o por un contratista de una agencia u otra organización en
nombre de una agencia. Los jefes de las agencias también son responsables de garantizar que: (i) los procesos de
gestión de la seguridad de la información estén integrados con los procesos de planificación estratégica y
operativa; (ii) los altos funcionarios dentro de la organización brindan seguridad de la información para la
información y los sistemas de información que respaldan las operaciones y los activos bajo su control; y (iii) la
organización cuenta con suficiente personal capacitado para ayudar a cumplir con los requisitos de seguridad de
la información en la legislación, políticas, directivas, instrucciones, estándares y lineamientos relacionados. A
través del desarrollo e implementación de políticas sólidas, el jefe de la agencia establece el compromiso de la
organización con la seguridad de la información y las acciones requeridas para gestionar eficazmente el riesgo y
proteger las misiones/funciones comerciales que lleva a cabo la organización. El jefe de la agencia establece la
rendición de cuentas adecuada para la seguridad de la información y brinda apoyo y supervisión activos para
monitorear y mejorar el programa de seguridad de la información. El compromiso del liderazgo senior con la
seguridad de la información establece un nivel de debida diligencia dentro de la organización que promueve un
clima para el éxito de la misión y el negocio.
Elejecutivo de riesgos (función)es un individuo o grupo dentro de una organización que proporciona un
enfoque más integral de toda la organización para la gestión de riesgos. El ejecutivo de riesgos (función)
sirve como recurso común de gestión de riesgos para los líderes senior/ejecutivos, misión/negocio
66Las funciones y responsabilidades descritas en este apéndice son consistentes con las funciones y responsabilidades asociadas
67Las organizaciones pueden definir otros roles (por ejemplo, gerente de instalaciones, gerente de recursos humanos, administrador de sistemas)
para respaldar el proceso de gestión de riesgos.
68Se debe tener precaución cuando una persona cumple múltiples funciones en el proceso de gestión de riesgos para garantizar que
la persona conserve un nivel adecuado de independencia y se mantenga libre de conflictos de intereses.
• Gestionar la información sobre amenazas y vulnerabilidades con respecto a los sistemas de información de
la organización y los entornos en los que operan los sistemas;
• Establecer foros en toda la organización para considerar todos los tipos y fuentes de riesgo (incluido el
riesgo agregado);
• Determinar el riesgo organizacional con base en el riesgo agregado de la operación y uso de los
sistemas de información y los respectivos ambientes de operación;
• Supervisar las actividades de gestión de riesgos llevadas a cabo por las organizaciones para garantizar
decisiones coherentes y eficaces basadas en riesgos;
• Desarrollar una mayor comprensión del riesgo con respecto a la visión estratégica de las organizaciones y sus
operaciones integradas;
• Establecer vehículos efectivos y servir como punto focal para comunicar y compartir información
relacionada con el riesgo entre las partes interesadas clave internas y externas a las organizaciones;
• Especificar el grado de autonomía para las organizaciones subordinadas permitidas por las
organizaciones matrices con respecto a enmarcar, evaluar, responder y monitorear el riesgo;
• Promover la cooperación y la colaboración entre los funcionarios autorizadores para incluir acciones de autorización de
seguridad que requieran una responsabilidad compartida (por ejemplo, autorizaciones conjuntas/apalancadas);
• Asegúrese de que las decisiones de autorización de seguridad consideren todos los factores necesarios para el éxito de
la misión y el negocio; y
• Asegúrese de que la responsabilidad compartida para respaldar las misiones organizacionales y las funciones comerciales
utilizando proveedores externos reciba la visibilidad necesaria y se eleve a las autoridades de toma de decisiones
correspondientes.
• Se implementa de manera efectiva un programa de seguridad de la información en toda la organización que da como
resultado una seguridad adecuada para todos los sistemas de información de la organización y los entornos de operación
de esos sistemas;
• Los sistemas de información están amparados por planes de seguridad aprobados y autorizados para operar;
• Las actividades relacionadas con la seguridad de la información requeridas en toda la organización se realizan
de manera eficiente, rentable y oportuna; y
El director de información y los funcionarios autorizadores también determinan, en función de las prioridades de
la organización, la asignación adecuada de los recursos dedicados a la protección de los sistemas de información
que respaldan las misiones y funciones comerciales de la organización. Para sistemas de información
seleccionados, el director de información puede ser designado como oficial autorizador o coautorizador con
otros funcionarios superiores de la organización. El rol de director de información tiene autoridad inherente del
gobierno de los EE. UU. y se asigna únicamente al personal del gobierno.
69Cuando una organización no ha designado un puesto formal de director de información, FISMA requiere que las responsabilidades
asociadas sean manejadas por un funcionario de la organización comparable.
70La información federal es un bien de la Nación, no de una agencia federal en particular o de sus organismos subordinados. Con ese espíritu,
muchas agencias federales están desarrollando políticas, procedimientos, procesos y la capacitación necesaria para poner fin a la práctica de
propiedad de la informacióne implementar la práctica deadministración de la información. La custodia de la información es el manejo
cuidadoso y responsable de la información federal perteneciente a la Nación en su conjunto, independientemente de la entidad o fuente que
haya originado, creado o recopilado la información. Los administradores de la información brindan el máximo acceso a la información federal
a elementos del gobierno federal y sus clientes, equilibrado por la obligación de proteger la información de acuerdo con las disposiciones de
FISMA y cualquier política, directiva, reglamento, estándar y guía federal relacionado con la seguridad. .
puede o no ser el mismo que el propietario del sistema. Un solo sistema de información puede contener información de múltiples
propietarios/administradores de información. Los propietarios/administradores de la información brindan información a los
propietarios del sistema de información con respecto a los requisitos de seguridad y los controles de seguridad para los sistemas
donde se procesa, almacena o transmite la información.
Eloficial superior de seguridad de la informaciónes un funcionario de la organización responsable de: (i) llevar a cabo las
responsabilidades de seguridad del director de información conforme a FISMA; y (ii) actuar como enlace principal del
director de información con los funcionarios autorizadores de la organización, los propietarios del sistema de
información, los proveedores de control común y los oficiales de seguridad del sistema de información. El oficial superior
de seguridad de la información: (i) posee las calificaciones profesionales, incluidas la capacitación y la experiencia,
necesarias para administrar las funciones del programa de seguridad de la información; (ii) mantiene las funciones de
seguridad de la información como responsabilidad principal; y (iii) dirige una oficina con la misión y los recursos para
ayudar a la organización a lograr información y sistemas de información más seguros de acuerdo con los requisitos de
FISMA. El oficial superior de seguridad de la información (o los miembros del personal de apoyo) también pueden actuar
como representantes designados oficiales autorizadores o asesores de control de seguridad. El rol de oficial superior de
seguridad de la información tiene autoridad inherente del gobierno de los EE. UU. y se asigna únicamente al personal del
gobierno.
Eloficial que autorizaes un alto funcionario o ejecutivo con autoridad para asumir formalmente la responsabilidad de operar un sistema de información a un nivel aceptable de riesgo para las
operaciones y los activos de la organización, las personas, otras organizaciones y la Nación.71Los funcionarios encargados de la autorización normalmente tienen supervisión presupuestaria para un
sistema de informaciónoson responsables de la misión y/o operaciones comerciales soportadas por el sistema. A través del proceso de autorización de seguridad, los funcionarios autorizadores son
explicablepara los riesgos de seguridad asociados con las operaciones del sistema de información. En consecuencia, los funcionarios autorizadores ocupan puestos de gestión con un nivel de autoridad
acorde con la comprensión y aceptación de tales riesgos de seguridad relacionados con el sistema de información. Los oficiales que autorizan también aprueban planes de seguridad, memorandos de
acuerdo o entendimiento, y planes de acción e hitos y determinan si cambios significativos en los sistemas de información o entornos de operación requieren reautorización. Los funcionarios
autorizadores pueden denegar la autorización para operar un sistema de información o, si el sistema está operativo, detener las operaciones, si existen riesgos inaceptables. Los ordenadores coordinan
sus actividades con el ejecutivo de riesgos (función), el director de información, el oficial superior de seguridad de la información, los proveedores de control común, propietarios del sistema de
información, oficiales de seguridad del sistema de información, asesores de control de seguridad y otras partes interesadas durante el proceso de autorización de seguridad. Con la creciente complejidad
de los procesos de misión/negocios, los acuerdos de asociación y el uso de servicios externos/compartidos, es posible que un sistema de información particular pueda involucrar a varios funcionarios
autorizadores. De ser así, se establecen acuerdos entre los ordenadores y se documentan en el plan de seguridad. Los ordenadores de pagos son responsables de garantizar que se lleven a cabo todas
las actividades y funciones asociadas con la autorización de seguridad que se delegan en los representantes designados de los ordenadores de pagos. El papel de oficial autorizador tiene autoridad
inherente al gobierno de los EE. UU. y se asigna únicamente al personal del gobierno. oficiales de seguridad del sistema de información, evaluadores de control de seguridad y otras partes interesadas
durante el proceso de autorización de seguridad. Con la creciente complejidad de los procesos de misión/negocios, los acuerdos de asociación y el uso de servicios externos/compartidos, es posible que
un sistema de información particular pueda involucrar a varios funcionarios autorizadores. De ser así, se establecen acuerdos entre los ordenadores y se documentan en el plan de seguridad. Los
ordenadores de pagos son responsables de garantizar que se lleven a cabo todas las actividades y funciones asociadas con la autorización de seguridad que se delegan en los representantes designados
de los ordenadores de pagos. El papel de oficial autorizador tiene autoridad inherente al gobierno de los EE. UU. y se asigna únicamente al personal del gobierno. oficiales de seguridad del sistema de
información, evaluadores de control de seguridad y otras partes interesadas durante el proceso de autorización de seguridad. Con la creciente complejidad de los procesos de misión/negocios, los
acuerdos de asociación y el uso de servicios externos/compartidos, es posible que un sistema de información particular pueda involucrar a varios funcionarios autorizadores. De ser así, se establecen
acuerdos entre los ordenadores y se documentan en el plan de seguridad. Los ordenadores de pagos son responsables de garantizar que se lleven a cabo todas las actividades y funciones asociadas con
la autorización de seguridad que se delegan en los representantes designados de los ordenadores de pagos. El papel de oficial autorizador tiene autoridad inherente al gobierno de los EE. UU. y se
asigna únicamente al personal del gobierno. y otras partes interesadas durante el proceso de autorización de valores. Con la creciente complejidad de los procesos de misión/negocios, los acuerdos de
asociación y el uso de servicios externos/compartidos, es posible que un sistema de información particular pueda involucrar a varios funcionarios autorizadores. De ser así, se establecen acuerdos entre los ordenadores y se documentan en el plan d
71La responsabilidad de autorizar a los funcionarios descrita en FIPS 200 se amplió en la Publicación especial 800-53 del NIST para incluir los
riesgos para otras organizaciones y la Nación.
Elproveedor de control comúnes un individuo, grupo u organización responsable del desarrollo, implementación,
evaluación y monitoreo de controles comunes (es decir, controles de seguridad heredados por los sistemas de
información).72Los proveedores de controles comunes son responsables de: (i) documentar los controles comunes
identificados por la organización en unplan de seguridad(o documento equivalente prescrito por la organización);
(ii) asegurar que las evaluaciones requeridas de los controles comunes sean realizadas por evaluadores
calificados con un nivel apropiado de independencia definido por la organización; (iii) documentar los resultados
de la evaluación en uninforme de evaluación de la seguridad; y (iv) producir unplan de acción e hitospara todos
los controles que tengan debilidades o deficiencias. Los planes de seguridad, los informes de evaluación de la
seguridad y los planes de acción e hitos para los controles comunes (o un resumen de dicha información) se
ponen a disposición de los propietarios del sistema de información. heredandoesos controles después de que la
información sea revisada y aprobada por el alto funcionario o ejecutivo con responsabilidad de supervisión de
esos controles.
72Las organizaciones pueden tener varios proveedores de control comunes según cómo se asignen las responsabilidades de seguridad de la
información en toda la organización. Los proveedores de control comunes también pueden serdueños de sistemas de informacióncuando los controles
comunes residen dentro de un sistema de información.
73Elpropietario del sistema de informaciónsirve como punto focal para el sistema de información. En esa capacidad, el propietario del sistema de
información actúa tanto como propietario como punto central de contacto entre el proceso de autorización y los propietarios de los componentes del
sistema, incluidos, por ejemplo: (i) aplicaciones, redes, servidores o estaciones de trabajo; (ii) propietarios/administradores de la información
procesada, almacenada o transmitida por el sistema; y (iii) titulares de las misiones y funciones empresariales soportadas por el sistema. Algunas
organizaciones pueden referirse a los propietarios del sistema de información como administradores de programas o propietarios de negocios/activos.
también responsable de decidir quién tiene acceso al sistema (y con qué tipo de privilegios o derechos de acceso)74y
asegura que los usuarios del sistema y el personal de apoyo reciban la capacitación de seguridad requerida (por ejemplo,
instrucción en reglas de comportamiento). Con base en la orientación del funcionario que autoriza, el propietario del
sistema de información informa a los funcionarios de la organización correspondientes sobre la necesidad de realizar la
autorización de seguridad, se asegura de que los recursos necesarios estén disponibles para el esfuerzo y proporciona el
acceso al sistema de información, la información y la documentación requerida para el evaluador de control de
seguridad. El propietario del sistema de información recibe los resultados de la evaluación de seguridad del asesor de
control de seguridad. Después de tomar las medidas apropiadas para reducir o eliminar las vulnerabilidades, el
propietario del sistema de información ensambla el paquete de autorización y lo envía al funcionario autorizador o al
representante designado del funcionario autorizador para su adjudicación.75
Eloficial de seguridad del sistema de información76es una persona responsable de garantizar que se mantenga la postura
de seguridad operativa adecuada para un sistema de información y, como tal, trabaja en estrecha colaboración con el
propietario del sistema de información. El oficial de seguridad del sistema de información también actúa como asesor
principal en todos los asuntos, técnicos y de otro tipo, relacionados con la seguridad de un sistema de información. El
oficial de seguridad del sistema de información tiene el conocimiento detallado y la experiencia necesarios para
administrar los aspectos de seguridad de un sistema de información y, en muchas organizaciones, se le asigna la
responsabilidad de las operaciones de seguridad diarias de un sistema. Esta responsabilidad también puede incluir, pero
no se limita a, protección física y ambiental, seguridad del personal, manejo de incidentes y capacitación y concientización
sobre seguridad. El oficial de seguridad del sistema de información puede ser llamado para ayudar en el desarrollo de
políticas y procedimientos de seguridad y para garantizar el cumplimiento de esas políticas y procedimientos. En estrecha
coordinación con el propietario del sistema de información, el oficial de seguridad del sistema de información a menudo
desempeña un papel activo en el monitoreo de un sistema y su entorno de operación para incluir el desarrollo y la
actualización del plan de seguridad, la gestión y el control de cambios en el sistema y la evaluación de la impacto en la
seguridad de esos cambios.
74La responsabilidad de decidir quién tiene acceso a información específica dentro de un sistema de información (y con qué tipos de
privilegios o derechos de acceso) puede residir en el propietario/administrador de la información.
75Dependiendo de cómo la organización haya organizado sus actividades de autorización de seguridad, el funcionario autorizador puede
optar por designar a una persona que no sea el propietario del sistema de información para compilar y ensamblar la información para el
paquete de autorización de seguridad. En esta situación, la persona designada debe coordinar las actividades de compilación y montaje con
el propietario del sistema de información.
76Las organizaciones también pueden definir ungerente de seguridad del sistema de informaciónogerente de seguridad de la informaciónrol con
responsabilidades similares a las de un oficial de seguridad del sistema de información o con responsabilidades de supervisión para un programa de seguridad de
la información. En estas situaciones, los oficiales de seguridad del sistema de información pueden, a discreción de la organización, informar directamente a los
gerentes de seguridad del sistema de información o gerentes de seguridad de la información.
los altos funcionarios de seguridad de la información y el ejecutivo de riesgos (función), en una variedad de temas
relacionados con la seguridad que incluyen, por ejemplo, establecer los límites del sistema de información, evaluar la
gravedad de las debilidades y deficiencias en el sistema de información, planes de acción e hitos, enfoques de mitigación
de riesgos , alertas de seguridad y posibles efectos adversos de las vulnerabilidades.
Elingeniero de seguridad de sistemas de informaciones un individuo, grupo u organización responsable de realizar actividades de
ingeniería de seguridad de sistemas de información. La ingeniería de seguridad del sistema de información es un proceso que
captura y refina los requisitos de seguridad de la información y garantiza que los requisitos se integren de manera efectiva en los
productos de componentes de tecnología de la información y los sistemas de información a través de una arquitectura, diseño,
desarrollo y configuración de seguridad con un propósito. Los ingenieros de seguridad de sistemas de información son una parte
integral del equipo de desarrollo (p. ej., equipo de proyecto integrado) que diseña y desarrolla sistemas de información
organizacionales o actualiza sistemas heredados. Los ingenieros de seguridad del sistema de información emplean las mejores
prácticas al implementar controles de seguridad dentro de un sistema de información, incluidas las metodologías de ingeniería de
software, principios de ingeniería de sistemas/seguridad, diseño seguro, arquitectura segura y técnicas de codificación seguras.
Los ingenieros de seguridad de sistemas coordinan sus actividades relacionadas con la seguridad con los arquitectos de seguridad
de la información, los oficiales superiores de seguridad de la información, los propietarios de los sistemas de información, los
proveedores de control común y los oficiales de seguridad de los sistemas de información.
Elevaluador de control de seguridades un individuo, grupo u organización responsable de realizar una evaluación
integral de los controles de seguridad de gestión, operativos y técnicos empleados dentro o heredados por un
sistema de información para determinar la efectividad general de los controles (es decir, la medida en que los
controles son implementado correctamente, operando según lo previsto y produciendo el resultado deseado con
respecto al cumplimiento de los requisitos de seguridad para el sistema). Los asesores de control de seguridad
también brindan una evaluación de la gravedad de las debilidades o deficiencias descubiertas en el sistema de
información y su entorno de operación y recomiendan acciones correctivas para abordar las vulnerabilidades
identificadas. Además de las responsabilidades anteriores, los evaluadores de control de seguridad preparan el
informe final de evaluación de seguridad que contiene los resultados y hallazgos de la evaluación. Antes de iniciar
la evaluación del control de seguridad, un asesor realiza una evaluación del plan de seguridad para ayudar a
garantizar que el plan proporcione un conjunto de controles de seguridad para el sistema de información que
cumpla con los requisitos de seguridad establecidos.
El nivel requerido de independencia del evaluador está determinado por las condiciones específicas de la
evaluación del control de seguridad. Por ejemplo, cuando la evaluación se lleva a cabo en apoyo de una decisión
de autorización o una autorización en curso, el funcionario que autoriza hace una determinación explícita del
grado de independencia requerido de acuerdo con las políticas, directivas, normas y lineamientos federales. La
independencia del evaluador es un factor importante para: (i) preservar la naturaleza imparcial e imparcial del
proceso de evaluación; (ii) determinar la credibilidad de los resultados de la evaluación de la seguridad; y (iii)
garantizar que el oficial autorizador reciba la información más objetiva posible para tomar una decisión de
autorización informada y basada en el riesgo. El propietario del sistema de información y el proveedor de control
común confían en la experiencia en seguridad y el juicio técnico del evaluador para: (i) evaluar los controles de
seguridad empleados dentro y heredados por el sistema de información utilizando los procedimientos de
evaluación especificados en el plan de evaluación de seguridad; y (ii) proporcionar recomendaciones específicas
sobre cómo corregir las debilidades o deficiencias en los controles y abordar las vulnerabilidades identificadas.
APÉNDICE E
TAREA 1-1 Identifique los supuestos que afectan la forma en que se evalúa, responde y supervisa el riesgo dentro
SUPUESTOS DE RIESGO de la organización.
TAREA 1-2 Identificar las restricciones en la realización de actividades de evaluación de riesgos, respuesta a riesgos y
TAREA 1-4 Identificar las prioridades y las ventajas y desventajas consideradas por la organización en la gestión del riesgo.
PRIORIDADES Y COMPENSACIONES
TAREA 2-1 Identificar amenazas y vulnerabilidades en los sistemas de información de la organización y los
IDENTIFICACIÓN DE AMENAZAS Y entornos en los que operan los sistemas.
VULNERABILIDADES
TAREA 2-2 Determinar el riesgo para las operaciones y los activos de la organización, las personas, otras
DETERMINACIÓN DE RIESGO organizaciones y la Nación si las amenazas identificadas explotan las vulnerabilidades identificadas.
TAREA 3-1 Identificar cursos de acción alternativos para responder al riesgo determinado durante la evaluación
IDENTIFICACIÓN DE LA RESPUESTA AL RIESGO de riesgos.
TAREA 4-1 Desarrollar una estrategia de monitoreo de riesgos para la organización que incluya el propósito, el tipo y la
ESTRATEGIA DE SEGUIMIENTO DE RIESGOS frecuencia de las actividades de monitoreo.
TAREA 4-2 Supervisar los sistemas de información de la organización y los entornos de operación de forma
SEGUIMIENTO DE RIESGOS continua para verificar el cumplimiento, determinar la eficacia de las medidas de respuesta al riesgo e
identificar cambios.
APÉNDICE F
MODELOS DE GOBERNANZA
ENFOQUES PARA LA GOBERNANZA DE LA SEGURIDAD DE LA INFORMACIÓN
T Se pueden utilizar tres enfoques de la gobernanza de la seguridad de la información para satisfacer las
necesidades de la organización: (i) uncentralizadoAcercarse; (ii) undescentralizadoAcercarse; o (iii) unhíbrido
Acercarse. La autoridad, la responsabilidad y el poder de toma de decisiones relacionados con la seguridad de la
información y la gestión de riesgos difieren en cada enfoque de gobierno. La estructura de gobierno adecuada para una
organización varía en función de muchos factores (p. ej., misión/necesidades comerciales, cultura y tamaño de la
organización, distribución geográfica de las operaciones, activos e individuos de la organización, y tolerancia al riesgo). La
estructura de gobierno de seguridad de la información está alineada con otras estructuras de gobierno (p. ej., gobierno de
tecnología de la información) para garantizar la compatibilidad con las prácticas de gestión establecidas dentro de la
organización y aumentar su eficacia general.
Gobernanza centralizada
Gobernanza descentralizada
En las estructuras de gobernanza de seguridad de la información descentralizadas, la autoridad, la responsabilidad y el poder de toma de decisiones se otorgan y se delegan en organizaciones
subordinadas individuales dentro de la organización matriz (p. ej., oficinas/componentes dentro de un departamento ejecutivo del gobierno federal o unidades comerciales dentro de una corporación ).
Las organizaciones subordinadas establecen sus propias políticas, procedimientos y procesos para garantizar la participación de toda la (sub) organización en el desarrollo y la implementación de
estrategias de gestión de riesgos y seguridad de la información, decisiones sobre riesgos y seguridad de la información, y la creación de mecanismos para comunicarse dentro de la organización. Un
enfoque descentralizado para el gobierno de la seguridad de la información se adapta a las organizaciones subordinadas con misiones/necesidades comerciales y entornos operativos divergentes a costa
de la coherencia en toda la organización como un todo. La eficacia de este enfoque aumenta considerablemente al compartir información relacionada con el riesgo entre organizaciones subordinadas, de
modo que ninguna organización subordinada pueda transferir el riesgo a otra sin el consentimiento informado de esta última. También es importante compartir información relacionada con el riesgo con
las organizaciones matrices, ya que las decisiones de riesgo de las organizaciones subordinadas pueden tener un efecto en la organización en su conjunto. La eficacia de este enfoque aumenta
considerablemente al compartir información relacionada con el riesgo entre organizaciones subordinadas, de modo que ninguna organización subordinada pueda transferir el riesgo a otra sin el
consentimiento informado de esta última. También es importante compartir información relacionada con el riesgo con las organizaciones matrices, ya que las decisiones de riesgo de las organizaciones
subordinadas pueden tener un efecto en la organización en su conjunto. La eficacia de este enfoque aumenta considerablemente al compartir información relacionada con el riesgo entre organizaciones
subordinadas, de modo que ninguna organización subordinada pueda transferir el riesgo a otra sin el consentimiento informado de esta última. También es importante compartir información relacionada
con el riesgo con las organizaciones matrices, ya que las decisiones de riesgo de las organizaciones subordinadas pueden tener un efecto en la organización en su conjunto.
Gobernanza híbrida
servicios comunes de seguridad). Las organizaciones subordinadas, de manera similar, establecen políticas,
procedimientos y procesos adecuados para garantizar su participación en la parte de las estrategias y decisiones
de gestión de riesgos y seguridad de la información que son específicas de su misión/necesidades comerciales y
entornos de operación. Un enfoque híbrido de la gobernanza requiere un liderazgo sólido y bien informado para la
organización en su conjunto y para las organizaciones subordinadas, y proporciona coherencia en toda la
organización para aquellos aspectos del riesgo y la seguridad de la información que afectan a toda la organización.
APÉNDICE G
MODELOS DE CONFIANZA
ENFOQUES PARA ESTABLECER RELACIONES DE CONFIANZA
T Los siguientes modelos de confianza describen formas en que las organizaciones pueden obtener los niveles de
confianza necesarios para formar asociaciones, colaborar con otras organizaciones, compartir información o
recibir sistemas de información/servicios de seguridad. Ningún modelo de confianza único es intrínsecamente
mejor que cualquier otro modelo. Más bien, cada modelo brinda a las organizaciones ciertas ventajas y desventajas en
función de sus circunstancias (p. ej., estructura de gobierno, tolerancia al riesgo y criticidad/sensibilidad de las misiones
organizacionales y los procesos comerciales).
Confianza validada
En elmodelo de confianza validado, una organización obtiene un cuerpo de evidencia con respecto a las acciones de otra
organización (por ejemplo, las políticas, actividades y decisiones relacionadas con el riesgo de seguridad de la información
de la organización) y utiliza esa evidencia para establecer un nivel de confianza con la otra organización. Un ejemplo de
confianza validada es cuando una organización desarrolla una aplicación o sistema de información y proporciona evidencia
(p. ej., plan de seguridad, resultados de evaluación) a una segunda organización que respalda las afirmaciones de la
primera organización de que la aplicación/sistema cumple con ciertos requisitos de seguridad y/o o aborda los controles
de seguridad apropiados en la publicación especial NIST 800-53. La confianza validada puede no ser suficiente, es decir, es
posible que la evidencia ofrecida por la primera organización a la segunda organización no satisfaga completamente los
requisitos de confianza o las expectativas de confianza de la segunda organización. Cuanta más evidencia se proporcione
entre las organizaciones, así como la calidad de dicha evidencia, mayor será el grado de confianza que se puede lograr. La
confianza está ligada al grado de transparencia entre las dos organizaciones con respecto a las actividades y decisiones
relacionadas con el riesgo y la seguridad de la información.
En elmodelo de confianza histórico directo, el historial exhibido por una organización en el pasado, particularmente en sus
actividades y decisiones relacionadas con el riesgo y la seguridad de la información, puede contribuir y ayudar a establecer
un nivel de confianza con otras organizaciones. Si bien los modelos de confianza validados asumen que una organización
proporciona el nivel de evidencia necesario para establecer la confianza, es posible que no siempre sea posible obtener
dicha evidencia. En tales casos, la confianza puede basarse en otros factores decisivos, incluida la relación histórica de la
organización con la otra organización o su experiencia reciente en el trabajo con la otra organización. Por ejemplo, si una
organización ha trabajado con una segunda organización durante años realizando alguna actividad y no ha tenido
ninguna experiencia negativa, la primera organización puede estar dispuesta a confiar en la segunda organización para
trabajar en otra actividad. aunque las organizaciones no comparten ninguna experiencia común para esa actividad en
particular. La confianza histórica directa tiende a acumularse con el tiempo y las experiencias más positivas contribuyen a
aumentar los niveles de confianza entre las organizaciones. Por el contrario, las experiencias negativas pueden hacer que
disminuyan los niveles de confianza entre las organizaciones.
Confianza mediada
En elmodelo de confianza mediada, una organización establece un nivel de confianza con otra organización sobre
la base de garantías proporcionadas por algún tercero de confianza mutua. Hay varios tipos de modelos de
confianza mediada que se pueden emplear. Por ejemplo, dos organizaciones que intentan establecer una relación
de confianza pueden no tener un historial de confianza directo entre las dos organizaciones, pero sí tener una
relación de confianza con una tercera organización. El tercero en el que ambos confían
organizaciones, negocia la relación de confianza entre las dos organizaciones, ayudando así a establecer el nivel
de confianza requerido. Otro tipo de confianza mediada involucra el concepto de transitividad de la confianza. En
este ejemplo, una organización establece una relación de confianza con una segunda organización.
Independientemente de la primera relación de confianza, la segunda organización establece una relación de
confianza con una tercera organización. Dado que la primera organización confía en la segunda organización y la
segunda organización confía en la tercera organización, ahora se establece una relación de confianza entre la
primera y la tercera organizaciones (que ilustra el concepto de confianza transitiva entre organizaciones).77
Fideicomiso obligatorio
En elmodelo de confianza obligatorio, una organización establece un nivel de confianza con otra organización en
base a un mandato específico emitido por un tercero en una posición de autoridad.78Este mandato puede ser
establecido por la autoridad respectiva a través de órdenes ejecutivas, directivas, reglamentos o políticas (p. ej., un
memorando del jefe de una agencia que indique que todas las organizaciones subordinadas acepten los
resultados de las evaluaciones de seguridad realizadas por cualquier organización subordinada dentro de la
agencia). El fideicomiso obligatorio también se puede establecer cuando se decreta que alguna entidad
organizativa sea la fuente autorizada para la provisión de recursos de información, incluidos productos, sistemas o
servicios de tecnología de la información. Por ejemplo, a una organización se le puede dar la responsabilidad y la
autoridad para emitir certificados de infraestructura de clave pública (PKI) para un grupo de organizaciones.
Confianza híbrida
En general, los modelos de confianza descritos anteriormente no son mutuamente excluyentes. Cada uno de los modelos
de confianza se puede utilizar de forma independiente como modelo independiente o junto con otro modelo. Varios
modelos de confianza se pueden utilizar a veces dentro de la organización (por ejemplo, en varias fases en el ciclo de vida
de desarrollo del sistema). Además, dado que las organizaciones suelen ser grandes y diversas, es posible que las
organizaciones subordinadas dentro de una organización matriz puedan emplear de forma independiente diferentes
modelos de confianza para establecer relaciones de confianza con organizaciones asociadas potenciales (incluidas las
organizaciones subordinadas). La estructura de gobierno de la organización puede establecer los términos y condiciones
específicos de cómo los diversos modelos de confianza se emplean de manera complementaria dentro de la organización.
Los modelos de confianza se pueden emplear en varios niveles en el enfoque de gestión de riesgos
descrito en esta publicación. Ninguno de los modelos de confianza es inherentemente mejor o peor
que los demás. Sin embargo, algunos modelos pueden adaptarse mejor a algunas situaciones que a
otras. Por ejemplo, el modelo de confianza validado, debido a que requiere evidencia de naturaleza
técnica (p. ej., pruebas completadas con éxito), es probablemente el más adecuado para la aplicación
en el Nivel 3. En contraste, el modelo de confianza histórico directo, con un énfasis significativo en
experiencias pasadas , es más adecuado para la aplicación en los Niveles 1 o 2. Los modelos de
confianza mediada y obligatoria suelen estar más orientados hacia la gobernanza y, en consecuencia,
son los más adecuados para la aplicación en el Nivel 1. Sin embargo, algunas implementaciones del
modelo de confianza obligatoria, por ejemplo, se requieren para confiar en la fuente de un certificado
PKI,
77En el modelo de confianza mediada, la primera organización normalmente no tiene idea de la naturaleza de la relación de confianza
entre la segunda y la tercera organización.
78La organización autorizada acepta explícitamente los riesgos en los que deben incurrir todas las organizaciones cubiertas por el mandato y es
responsable de las decisiones relacionadas con los riesgos impuestas por la organización.
orientado Un ejemplo de esta aplicación podría ser el uso de servicios de autenticación que validen la
autenticidad o identidad de un componente o servicio del sistema de información.
APÉNDICE H
O las organizaciones se desarrollanestrategias de gestión de riesgoscomo parte del paso de encuadre de riesgo
en el proceso de gestión de riesgo descrito en el Capítulo Tres. Las estrategias de gestión de riesgos abordan
cómo las organizaciones pretenden evaluar el riesgo, responder al riesgo y monitorear la toma de riesgos de
manera explícita y transparente las percepciones de riesgo que las organizaciones usan de manera rutinaria para tomar
decisiones tanto de inversión como operativas. Como parte de las estrategias de gestión de riesgos organizacionales, las
organizaciones también desarrollanestrategias de respuesta al riesgo. Las realidades prácticas que enfrentan las
organizaciones hoy en día hacen que las estrategias de respuesta a los riesgos sean esenciales: las realidades de necesitar
la eficacia de la misión/negocio que ofrece la tecnología de la información, la falta de confiabilidad en las tecnologías
disponibles y la creciente conciencia de los adversarios del potencial para lograr sus objetivos para causar daño al
comprometer los sistemas de información de la organización y los entornos en los que operan esos sistemas. Los líderes/
ejecutivos sénior en las organizaciones modernas se enfrentan a un dilema casi irresoluble: es decir, las tecnologías de la
información necesarias para el éxito de la misión/negocio pueden ser las mismas tecnologías a través de las cuales los
adversarios provocan el fracaso de la misión/negocio. Las estrategias de respuesta al riesgo desarrolladas e
implementadas por las organizaciones brindan a estos líderes / ejecutivos senior (es decir, tomadores de decisiones
dentro de las organizaciones) con caminos prácticos y pragmáticos para enfrentar este dilema. Las estrategias de
respuesta a los riesgos claramente definidas y articuladas ayudan a garantizar que los líderes/ejecutivos sénior se
apropien de las respuestas a los riesgos de la organización y, en última instancia, sean responsableyexplicablepara
decisiones de riesgo: comprensión, reconocimiento y aceptación explícita de la misión / riesgo comercial resultante.
Como se describe en el Capítulo Dos, existen cinco tipos básicos de respuestas al riesgo: (i) aceptar; (ii) evitar; (iii)
mitigar; (iv) compartir; y (v) transferencia.79Si bien cada tipo de respuesta puede tener una estrategia asociada,
debe haber una estrategia general para seleccionar entre los tipos de respuesta básicos. Esta estrategia general
de respuesta al riesgo y una estrategia para cada tipo de respuesta se analizan a continuación. Además, específico
estrategias de mitigación de riesgosse presentan, incluida una descripción de cómo se pueden implementar tales
estrategias dentro de las organizaciones.
Las estrategias de respuesta al riesgo especifican: (i) individuos o subcomponentes organizacionales que son responsables de las
medidas de respuesta al riesgo seleccionadas y especificaciones de criterios de efectividad (es decir, articulación de indicadores y
umbrales contra los cuales se puede juzgar la efectividad de las medidas de respuesta al riesgo); (ii) dependencias de las medidas
de respuesta al riesgo seleccionadas en otras medidas de respuesta al riesgo; (iii) las dependencias de las medidas de respuesta al
riesgo seleccionadas de otros factores (por ejemplo, la implementación de otras medidas de tecnología de la información
planificadas); (iv) cronograma de implementación de las respuestas a los riesgos; (v) planes para monitorear la efectividad de las
medidas de respuesta al riesgo; (vi) identificación de disparadores de monitoreo de riesgos; y (vii) medidas provisionales de
respuesta al riesgo seleccionadas para su implementación, si corresponde. Las estrategias de implementación de la respuesta al
riesgo pueden incluir medidas provisionales que las organizaciones decidan implementar. Una estrategia general de respuesta al
riesgo proporciona un enfoque organizacional para seleccionar entre las respuestas básicas al riesgo para una situación de riesgo
determinada. una decisión deaceptarel riesgo debe ser consistente con la tolerancia organizacional establecida para el riesgo. Aún
79Existe una superposición entre las respuestas básicas al riesgo. Por ejemplo, un riesgo compartido es aquel que está siendo aceptado por
cada parte en el acuerdo de participación, y se puede considerar que evitar el riesgo es mitigar el riesgo a cero. No obstante, con esta
comprensión de la superposición, es valioso abordar cada uno de los cinco tipos de respuestas al riesgo por separado.
todavía es necesario un camino organizacional bien definido y establecido para seleccionar una o una combinación de las
respuestas de riesgo de aceptación, evitación, mitigación, intercambio o transferencia. Las organizaciones a menudo se
encuentran en situaciones en las que existe un riesgo mayor que el que los líderes/ejecutivos senior designados desean
aceptar. Es probable que sea necesaria cierta aceptación del riesgo. Podría ser posible evitar el riesgo o compartir o
transferir el riesgo, y probablemente sea factible mitigar el riesgo. Evitar el riesgo puede requerir una reingeniería
selectiva de la misión/procesos comerciales de la organización y renunciar a algunos de los beneficios que se acumulan
con el uso de la tecnología de la información en toda la organización, tal vez incluso lo que las organizaciones perciben
comonecesariobeneficios Mitigar el riesgo requiere el gasto de recursos limitados y puede volverse rápidamente ineficaz
en función de los costos debido a las realidades pragmáticas del grado de mitigación que realmente se puede lograr. Por
último, compartir y transferir riesgos también tiene ramificaciones, algunas de las cuales, si no son inaceptables, pueden
ser indeseables. Las estrategias de respuesta al riesgo de las organizaciones facultan a los líderes/ejecutivos senior para
que tomen decisiones basadas en el riesgo que cumplan con las metas, los objetivos y las perspectivas organizacionales
más amplias.
De todas las estrategias de respuesta al riesgo, las organizacionalesestrategias de evitación de riesgospuede ser la clave para
lograr una respuesta adecuada al riesgo. Las realidades pragmáticas de la confiabilidad de las tecnologías de la información
disponibles para su uso dentro de las limitaciones de recursos comunes, hacen que el uso inteligente de esas tecnologías
posiblemente sea un factor significativo, si noelrespuesta de riesgo más significativa. El uso inteligente de las tecnologías de la
información que componen los sistemas de información de la organización es fundamentalmente una forma de evitar el riesgo, es
decir, las organizaciones modifican la forma en que se utilizan las tecnologías de la información para cambiar la naturaleza del
riesgo en el que se incurre (es decir, evitar el riesgo). Sin embargo, tales enfoques pueden estar en gran tensión con los deseos de
la organización y, en algunos casos, con el mandato de automatizar completamente la misión/los procesos comerciales. Las
organizaciones abordan este dilema de manera proactiva para que: (i) los líderes/ejecutivos senior (y otros funcionarios de la
organización que toman decisiones basadas en el riesgo) rindan cuentas solo por lo que está dentro de su capacidad de afectar; y
(ii) los tomadores de decisiones pueden tomar las decisiones de riesgo difíciles que, de hecho, pueden ser en el mejor interés de
las organizaciones.
transferencia (es decir, el enfoque debe estar en la misión/éxito comercial, no en la asignación de culpas). Además, las actividades
de distribución y transferencia de riesgos deben llevarse a cabo de acuerdo con las dinámicas y realidades intra e
interorganizacionales (p. ej., cultura organizacional, gobierno, tolerancia al riesgo). Esto explica por qué las estrategias de
distribución/transferencia de riesgos son particularmente importantes para que la distribución y/o la transferencia sean una
opción viable de respuesta al riesgo.
• Los procesos de misión/negocios están diseñados con respecto a las necesidades de protección de la información y los
requisitos de seguridad de la información;80
• Las arquitecturas empresariales (incluidas las arquitecturas de seguridad de la información integradas) están diseñadas teniendo en
cuenta las mitigaciones de riesgos que se pueden lograr de manera realista;
• Las medidas de mitigación de riesgos se implementan dentro de los sistemas de información de la organización y los
entornos de operación mediante salvaguardas/contramedidas (es decir, controles de seguridad) consistentes con las
arquitecturas de seguridad de la información; y
Las organizaciones desarrollan estrategias de mitigación de riesgos basadas en metas y objetivos estratégicos, la misión y
los requisitos comerciales, y las prioridades de la organización. Las estrategias proporcionan la base para tomar
decisiones basadas en el riesgo sobre las soluciones de seguridad de la información asociadas y aplicadas a los sistemas
de información dentro de la organización. Las estrategias de mitigación de riesgos son necesarias para garantizar que las
organizaciones estén adecuadamente protegidas contra las crecientes amenazas a la información procesada, almacenada
y transmitida por los sistemas de información de la organización. La naturaleza de las amenazas y los entornos dinámicos
en los que operan las organizaciones exigen defensas flexibles y escalables, así como soluciones que se puedan adaptar
para satisfacer las condiciones que cambian rápidamente. Estas condiciones incluyen, por ejemplo, la aparición de nuevas
amenazas y vulnerabilidades, el desarrollo de nuevas tecnologías, cambios en las misiones/requerimientos del negocio, y/
o cambios en los ambientes de operación. Las estrategias efectivas de mitigación de riesgos respaldan las metas y
objetivos de las organizaciones y la misión/prioridades comerciales establecidas, están estrechamente vinculadas a las
arquitecturas empresariales y las arquitecturas de seguridad de la información, y pueden operar durante todo el ciclo de
vida del desarrollo del sistema.
80Además de las necesidades de protección de la información impulsadas por la misión o el negocio, los requisitos de seguridad de la información se
obtienen de una variedad de fuentes (p. ej., legislación federal, políticas, directivas, reglamentos y normas).
81Los entornos dinámicos de operación se caracterizan, por ejemplo, por cambios continuos en personas, procesos,
Las estrategias tradicionales de mitigación de riesgos con respecto a las amenazas de ciberataques al principio se basaron
casi exclusivamente en monolíticos.protección de límites. Estas estrategias asumieron que los adversarios estaban fuera
de algún perímetro defensivo establecido, y el objetivo de las organizaciones era repeler el ataque. El enfoque principal de
la protección de límites estáticos era la resistencia a la penetración de los productos de tecnología de la información y los
sistemas de información empleados por la organización, así como cualquier protección adicional y contramedidas
implementadas en los entornos en los que operaban los productos y sistemas. El reconocimiento de que los límites del
sistema de información eran permeables o porosos condujo a una defensa en profundidad como parte de la estrategia de
mitigación, basándose en mecanismos de detección y respuesta para abordar las amenazas dentro del perímetro de
protección. En el mundo actual caracterizado poramenazas persistentes avanzadas,82se necesita una estrategia de
mitigación de riesgos más integral, una estrategia que combine la protección de límites tradicional condefensa ágil.
La defensa ágil asume que un pequeño porcentaje de las amenazas de los ataques cibernéticos intencionales tendrán
éxito al comprometer los sistemas de información de la organización a lo largo de la cadena de suministro.83derrotando
las salvaguardas y contramedidas iniciales (es decir, controles de seguridad) implementadas por las organizaciones, o
explotando vulnerabilidades previamente no identificadas para las cuales no existen protecciones. En este escenario, los
adversarios operan dentro de los perímetros defensivos establecidos por las organizaciones y pueden tener un control
sustancial o completo de los sistemas de información de la organización. La defensa ágil emplea el concepto deresiliencia
del sistema de información—Es decir, la capacidad de los sistemas para operar mientras están bajo ataque, incluso en un
estado degradado o debilitado, y para recuperar rápidamente las capacidades operativas para funciones esenciales
después de un ataque exitoso. El concepto de resiliencia del sistema de información también se puede aplicar a otras
clases de amenazas, incluidas las amenazas de perturbaciones ambientales y/o errores humanos de omisión/comisión.
Las estrategias de mitigación de riesgos más efectivas emplean una combinación de protección de límites y defensas
ágiles según las características de la amenaza.84Esta estrategia de protección dual ilustra dos conceptos importantes de
seguridad de la información conocidos como defensa en profundidad.85y defensa en amplitud.86
La información tiene valor y debe ser protegida. Los sistemas de información (que incluyen personas, procesos y
tecnologías) son los principales vehículos empleados para procesar, almacenar y transmitir dicha información, lo que
permite a las organizaciones llevar a cabo sus misiones en una variedad de entornos de operación y, en última
instancia, tener éxito.
82UnAmenaza Persistente Avanzadaes un adversario que posee niveles sofisticados de experiencia y recursos significativos que le permiten
crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque (p. ej., cibernético, físico y engañoso). Estos
objetivos típicamente incluyen establecer/ampliar puntos de apoyo dentro de la infraestructura de tecnología de la información de las
organizaciones objetivo con el fin de exfiltrar información, socavar o impedir aspectos críticos de una misión, programa u organización; o
posicionándose para llevar a cabo estos objetivos en el futuro. La amenaza persistente avanzada: (i) persigue sus objetivos repetidamente
durante un período prolongado de tiempo; (ii) se adapta a los esfuerzos de los defensores para resistirlo; y (iii) está decidida a mantener el
nivel de interacción necesario para ejecutar sus objetivos.
83 El borrador del Informe interinstitucional 7622 del NIST proporciona orientación sobre la gestión del riesgo de la cadena de suministro.
85Defensa en profundidades una estrategia de seguridad de la información que integra personas, tecnología y capacidades operativas
para establecer barreras variables en múltiples capas y misiones de la organización.
86Defensa en amplitudes un conjunto planificado y sistemático de actividades multidisciplinarias que buscan identificar,
administrar y reducir el riesgo de vulnerabilidades explotables en cada etapa del ciclo de vida del sistema, red o
subcomponente (diseño y desarrollo del sistema, red o producto; fabricación; empaque; montaje, integración de sistemas,
distribución, operaciones, mantenimiento y retiro).