LIBRO BLANCO

Estrategias eficaces de gestión

de riesgos
Protección del proceso de negocios mediante
evaluación, planificación y recuperación
 LIBRO BLANCO

ÍNDICE + Introducción 3

+ Anatomía de un programa
sólido de seguridad 3

+ Gestión de riesgos comerciales 4

+ Coste de información de
incidentes de seguridad 5

+ Parches y evaluación de
vulnerabilidades 8

+ Conclusión 9
 LIBRO BLANCO

Introducción
La seguridad de la información exige actualmente un nivel importante de atención
por parte de las organizaciones, sin embargo, el método tradicional de identificación
de riesgos ha demostrado ser insuficiente en términos puramente técnicos. En la
actualidad, las organizaciones deben considerar las áreas que afectan verdaderamente
a la seguridad de la información e integrar tales descubrimientos en un programa
global de gestión de riesgos para asegurar las inversiones en tecnología de forma
eficaz y apropiada.
Los modelos de seguridad periférica se han convertido en práctica común para
proteger infraestructuras e informaciones comerciales clave. En concreto, los
controles de seguridad entre Internet y la red interna de la organización se han
convertido en un importante centro de atención de inversión en materia de
tecnología. Aunque estas organizaciones pueden haber establecido un potente sistema
de seguridad periférica, esta medida de precaución sólo supone una primera línea de
defensa. Si una organización desea proteger adecuadamente toda su información
relevante, necesita algo más que los últimos sistemas de hardware y software en
seguridad. En los procesos comerciales esenciales, una empresa debe idear y aplicar
una mezcla de estrategias provisionales y permanentes para alcanzar y mantener un
nivel adecuado de protección.
VeriSign, basándose en su experiencia de gestión de servicios inteligentes de
infraestructura de Internet y de recopilación de datos en el control de sistemas de
detección de intrusiones y redes en el entorno de Managed Security Services de
VeriSign®, así como en la experiencia adquirida en sus actividades de consultoría y de
evaluación de vulnerabilidades, ha desarrollado una práctica de gestión de riesgos
comerciales de seguridad de información.
Los resultados positivos de gestión de seguridad de programas, además de propor-
cionar una recuperación eficaz de incidentes de seguridad, presentan beneficios
tangibles para los clientes de VeriSign en su gestión diaria.

Anatomía de un programa
sólido de seguridad
Las investigaciones de VeriSign indican que las organizaciones con los mejores
programas de gestión de seguridad comparten características importantes. Basándose
en estas investigaciones, VeriSign ha desarrollado un conjunto de criterios para
evaluar la eficacia de los programas de gestión de seguridad y, en particular,
programas de gestión de amenazas y vulnerabilidades.
Entre estos criterios se incluyen:
• Un inventario completo de sistemas comerciales críticos: (Es un componente
clave si se aplica la gestión de amenazas y vulnerabilidades a la gestión de riesgos
comerciales. El nivel de riesgo o amenazas a los sistemas que respaldan un
proceso comercial concreto es esencial para integrar la gestión de riesgos
comerciales y los programas de seguridad de la información. Los programas de
seguridad eficaces dan prioridad a las inversiones en los principales riesgos
comerciales. Por desgracia, la falta de comprensión de los sistemas que respaldan
un proceso comercial pueden causar una recuperación prolongada cuando se
necesita respuesta a un incidente.)
• Programas de control minuciosos para detectar intentos de ataques contra
sistemas comerciales clave y sus dominios

3
 LIBRO BLANCO

• Un proceso detallado de gestión del “contenido” de sistemas de detección (firmas

IDS, reglas de inspección de tráfico o flujo de red, cortafuegos o registro de host)
para que el nivel de control se comprenda adecuadamente
• Mecanismos para identificar las vulnerabilidades específicas de sistemas que
respaldan procesos comerciales clave: (Mecanismos que dependen del tamaño y
complejidad del entorno. Las organizaciones pueden asegurar que las
vulnerabilidades se corrigen creando entornos de operaciones estándar o
“protocolos”, que se mantienen y utilizan como base para desarrollar una
configuración de referencia para distribuir, seguida del uso de los servicios o
herramientas de evaluación.)
• La capacidad de realizar pruebas en un entorno no productivo y suprimir los
cambios no válidos
• Un mecanismo para distribuir regularmente parches con un coste e impacto
operacional razonable: los mecanismos que causan riesgos de grandes periodos
de inactividad o que no se pueden soportar económicamente no son válidos. Un
proceso bien planificado para comprobar que los parches están aplicados
correctamente es esencial
• La capacidad para aplicar contramedidas temporales cuando no se pueden
utilizar parches de forma regular: un problema creciente, como sugieren todas
las evidencias, es que el plazo actual necesario para aplicar parches de seguridad
supera la tolerancia de interrupción de servicio de muchas organizaciones

Gestión de riesgos comerciales

Los resultados obtenidos de las operaciones y prácticas de VeriSign demuestran que
una gestión de riesgos adecuada en el entorno actual requiere que las organizaciones
adopten programas adecuados de gestión de amenazas y vulnerabilidades para gestionar
los riesgos y controlar los sistemas que respaldan los procesos comerciales clave.
Los clientes más importantes de VeriSign incorporan la tecnología de riesgos en un
proceso más amplio de gestión de riesgos comerciales. Un programa completo de
gestión de tecnología y de riesgos incorpora los cuatro principios siguientes:
• La empresa debe comprender los requisitos del proceso comercial que se
pueden evaluar. Estos requisitos pueden incluir pérdidas económicas, de
prestigio, de propiedad intelectual, devaluación de mercancías y requisitos de
carácter legal (un factor esencial), entre otros riesgos comerciales específicos.
• Las empresas deben conocer los modos de fallos, incluyendo el reconocimiento
de cómo los riesgos o fallos específicos de sistemas pueden afectar a los
procesos comerciales y su riesgo relativo. Estos riesgos necesitan estar alineados
con una estrategia de gestión: la inversión en medidas correctivas si es posible, el
desarrollo de controles de compensación, asegurar riesgos, y, en la mayoría de los
casos, desarrollar un método de detección de estos modos de fallos.
• La organización debe planificar modos de fallos como una respuesta específica.
Este procedimiento es esencial en la gestión de riesgos que exigen una respuesta,
como la revelación de datos considerados esenciales según la Ley sobre Aviso de
Infracciones de Seguridad (Notice of Security Breach Act) (Código Civil de
California 1798.821, también conocida como California Senate Bill 1386), el
fallo de un sistema que puede requerir mantenimiento administrativo para su
reparación, o un modo de fallos específico que requiere interrumpir parte de la
actividad para evitar pérdidas económicas.
• La empresa debe aplicar controles de detección y de operaciones para que,
cuando se produce un modo de fallos, se detecte inmediatamente y se adopte la
respuesta adecuada.

1
Otras secciones de la ley incluyen el Código Civil de California 1798.29 y 1798.84. Esta ley también recibe la denominación de California
Database Protection Act o California Security Breach Information Act. Si desea más información, visite la página
http://info.sen.ca.gov/pub/01-02/bill/sen/sb_1351-1400/sb_1386_bill_20020926_chaptered.html.

4
 LIBRO BLANCO

Si se cumple este marco, los riesgos del sistema, incluyendo vulnerabilidades, defectos
de diseño y/o defectos de controles, se pueden describir mejor. Conocer los riesgos,
los modos de fallos en particular, comienza con una clara definición de los términos
y con un esfuerzo de asegurar que el lenguaje se desarrolla apropiadamente. Como
resultado, si un accidente de seguridad implica una decisión ejecutiva como una
estrategia “de avance”, ya se estará aplicando el plan de gestión de riesgos para
mitigar dicha amenaza. Este marco incluye el desarrollo del lenguaje para describir
riesgos de procesos comerciales y programas de operaciones de respaldo con los
niveles adecuados de gasto operacional y capital, dando como resultado programas de
seguridad válidos y rentables.

Coste de información de
incidentes de seguridad
Los incidentes de coste de seguridad pueden tener un gran impacto económico,
además de sanciones regulatorias, pérdida de confianza de los clientes y acciones
legales por parte de consumidores particulares. La mayoría de empresas incluidas en
la lista de Fortune 500 sufren cientos de incidentes cada año, aunque sólo un
pequeño porcentaje de estos incidentes tienen como resultado una pérdida
económica. Sin embargo, cuando se producen pérdidas, éstas suelen exceder los
costes asociados con los sistemas iniciales de evaluación de riesgos, de gestión
continuada de riesgos y programas de seguridad de la información, que se centran en
proteger los procesos comerciales clave y los sistemas y aplicaciones subyacentes que
los respaldan.
A medida que las organizaciones siguen confiando en la tecnología para asegurar
procesos comerciales basados en la Web, aumentan los riesgos en la seguridad. Es
necesario identificar y gestionar estos riesgos para que el gasto relacionado con la
información sea proporcional a los riesgos comerciales, la gestión de riesgos y los
procesos comerciales clave, esenciales para que una organización pueda generar
ingresos o sufragar operaciones. Mantener un gasto en función de las amenazas
generalizadas de la actividad global de Internet o de acuerdo con patrones de ataques
concretos no es un método razonable, ya que no encara la forma en la que una
amenaza puede o no afectar a la organización. El hecho de tener presencia en
Internet hace que una organización sea vulnerable, sin embargo, en la gran mayoría
de los casos, las grandes pérdidas tienen su origen en las acciones de usuarios
internos con acceso autorizado a la red y a sus recursos.
Independientemente del origen de la amenaza, es necesario contar con controles de
seguridad apropiados y por niveles, junto con programas globales de evaluación,
planificación y recuperación, para hacer frente a las amenazas de seguridad y a la
creciente lista de requisitos legales.
El componente esencial de la gestión de riesgos es la planificación de un incidente
inevitable y asegurar que los planes de respuesta diseñados reducen el impacto en la
organización. La planificación de respuesta de incidentes, globalmente, está muy
relacionada con el conocimiento de procesos comerciales clave y los modos de fallo
relacionados con cada uno de ellos, y con el desarrollo y aplicación de contramedidas
proactivas de detección, prevención y reacción para cada fallo potencial.
Para mantener la rentabilidad y asegurar que la inversión en seguridad de la
información no se aplica igualmente al valor variable de bienes de computación
distribuidos, las organizaciones deben conocer y mantener la prioridad de los sistemas
y aplicaciones críticas en las que se fundamentan sus actividades comerciales

5
 LIBRO BLANCO

esenciales. Si se utiliza un método de riesgos comerciales, la planificación de respuesta

de incidentes tiene lugar en un nivel inferior que examina los bienes de información
más valiosos, los modos de fallos para procesos comerciales clave que representan las
grandes amenazas y modelos de respuesta que aumentan la solución de los riesgos.
En función de los datos recopilados por el equipo de respuesta de incidentes de
VeriSign durante tres años, existe una relación inversa entre una planificación inicial
de respuesta de incidentes y el coste total asociado con los incidentes. Entre 2001 y
2003, VeriSign comprobó que el coste medio por incidentes de seguridad de
organizaciones con plan de respuesta de incidentes variaba entre 90.000 y 112.500
dólares. Por el contrario, el coste medio de los clientes de VeriSign con planes de
respuesta de incidentes estaba entre los 14.000 y los 25.000 dólares por incidente.

Coste de incidentes de seguridad

Sin plan de recuperación Con plan de recuperación

de incidentes de incidentes
$120.000

$100.000

$80.000
Coste

$60.000

$40.000

$20.000

$0
2001 2002 2003
Año

6
 LIBRO BLANCO

En contadas ocasiones es imposible evaluar los costes. Una organización, proveedora

de servicios de VISA en Estados Unidos, perdió su alianza con VISA, debido a un
sonado incidente de seguridad a causa de su incumplimiento del programa de
seguridad de la información sobre titulares de tarjetas VISA en Estados Unidos. En
otro incidente, se logró robar la propiedad intelectual de una empresa de servicios
financieros, que fue incapaz de cuantificar sus pérdidas.
Los costes derivados de los periodos de inactividad también se pueden cuantificar
para identificar el alcance de las pérdidas económicas. En general, VeriSign observó
un promedio de 20 a 23 días de recuperación para clientes sin una planificación de
respuesta de incidentes. Por contra, en las organizaciones que han desarrollado un
plan formal de respuesta de incidentes, este periodo de tiempo se reduce a una media
de entre tres y diez días. De forma global, VeriSign ha comprobado que el tiempo
medio de recuperación normal seguía siendo prácticamente el mismo para
organizaciones sin planes de respuesta de incidentes, si bien se reducía en
organizaciones con un plan de respuesta de incidentes.

Promedio de días hasta la

recuperación de los incidentes

Sin plan de recuperación Con plan de recuperación

de incidentes de incidentes
25

20

15
Días

10

0
2001 2002 2003
Año

7
 LIBRO BLANCO

GESTIÓN EFECTIVA
DE PARCHES
“El baloncesto es como la
guerra; las armas ofensivas se
desarrollan primero, mientras
que las defensivas necesitan
más tiempo.” 2
Red Auerbach, mítico entrenador de
Boston Celtics en las décadas de los
50 y 60.
El servicio Alert Service de VeriSign®,
un componente de Managed
Vulnerability Protection Service de
VeriSign, ha detectado más de mil
vulnerabilidades diferentes en
plataformas de clientes.
Teniendo en cuenta que la mayoría de
las organizaciones dependen de un
sistema que se compone de tecnologías
procedentes de diferentes proveedores,
el número de vulnerabilidades y parches
constituyen un problema en la gestión
de cambios. Cada vulnerabilidad en un
sistema de producción representa una
necesidad de pruebas, aplicación de
parches, comprobaciones de eficacia y
gestión del flujo de trabajo.
Parches y evaluación de
vulnerabilidades
Controlar o reducir el umbral de oportunidades después de descubrir una vulnerabilidad
es un factor esencial a la hora de minimizar los riesgos. Por desgracia, en ocasiones se
suele producir un ataque antes de que se pueda aplicar un parche. En estos casos, las
únicas opciones de reducción de riesgos son los controles de compensación con los
riesgos específicos que recomienda el proveedor de software o la aplicación de los
planes de respuesta preparados. Qualys, una empresa de servicios de evaluación de
vulnerabilidades, publicó un estudio en el que se afirmaba que el 80 por ciento de
los casos de vulnerabilidades no se resuelven ni siquiera transcurridos 60 días desde
su descubrimiento.
La verdadera magnitud del problema y el riesgo que representa, si no se le da una
solución rápida, hacen que las organizaciones tomen decisiones arriesgadas: ¿qué parches
son los apropiados y a qué sistemas se deben aplicar? Los clientes de VeriSign obtienen
mejores resultados si utilizan el modelo recomendado de gestión de riesgos. En primer
lugar, conociendo los modos de fallos del sistema y preparando un plan de gestión de
vulnerabilidades adecuado que incorpore estrategias de reducción de riesgos como:
• Refuerzo del sistema operativo
• Desarrollo y administración de entornos de operaciones estándar con una
configuración más compacta y específica, con menos lagunas que posibiliten un
entorno más controlado con menos necesidades de parches
• Distribución de la red en compartimentos
• Formulación de políticas de contingencia para IDS, cortafuegos y enrutadores
para descubrir vulnerabilidades a las que no se pueden aplicar parches
• Gestión de los parches como un programa global de gestión de la configuración

La mayoría de las organizaciones Cada una de estas estrategias se ve respaldada por un conjunto de tecnologías que
consideran la gestión de vulnera- asegura las mejores prácticas en este área.
bilidades como un proceso mucho
más simple y no cuentan con un plan
para el día en que no puedan aplicar
de forma efectiva un parche, si bien
son conscientes de los casos que se
dan en sistemas vulnerables. Alert
Service de VeriSign les proporciona a
esas organizaciones un sistema de
alerta muy necesario.

2
Fuente: Qualys, Laws of Vulnerabilities, 30 de julio de 2003.

8
 LIBRO BLANCO

Conclusión

VeriSign recomienda a las empresas que tengan en cuenta el riesgo comercial como una
guía de información de gastos en materia de seguridad. Los riesgos comerciales, como
las responsabilidades en las que se incurre por incumplir normas y leyes guberna-
mentales y por poner en riesgo la información de clientes, pudiendo ocasionar el robo
de información y los fallos de seguridad, suponen una gran amenaza para las
organizaciones. Los clientes más importantes de VeriSign emplean una estrategia de
protección comercial para identificar sistemas críticos, determinar sus condiciones de
fallo y crear controles que puedan detectar o eliminar estos fallos y respaldar estos
controles con funciones que permiten un control ininterrumpido y respuesta de
incidentes.
+ Información adicional
Si desea obtener más información acerca de los servicios Managed Security Services
de VeriSign, llame al teléfono 900 93 1298 o envíe un correo electrónico a
ventas@verisign.es.
Si desea más información, visítenos en www.verisign.es

Nota: VeriSign adquirió en febrero de 2004 el prestigioso Guardent, líder reconocido en servicios de seguridad Managed Security Services (MSS).
Los servicios de consultoría y gestión de seguridad de Guardent se han incorporado a la cartera de soluciones de VeriSign.

© 2005 VeriSign Spain, S.L. Todos los derechos reservados. VeriSign, el logotipo de VeriSign y otras marcas comerciales, marcas de servicio y
logotipos son marcas registradas o no registradas de VeriSign y sus filiales en Estados Unidos y otros países. El resto de las marcas son marcas
registradas de sus respectivos propietarios.

00018854