Sesión 3:

Administración de riesgos de
seguridad
Enrique G. Dutra
Punto NET Soluciones
edutra@puntonetsoluciones.com.ar
Prerrequisitos de la sesión

Comprensión básica de los aspectos fundamentales de la

seguridad de la red
Comprensión básica de los conceptos de la administración de
riesgos de seguridad

Nivel 300
Audiencia objetivo

Esta sesión se enfoca principalmente en:

 Arquitectos y planeadores de sistemas

 Miembros del equipo de seguridad de la información

 Auditores de seguridad e informática

 Ejecutivos senior, analistas de negocios y encargados de

tomar decisiones de negocios

 Consultores y socios de negocios

Descripción general de la sesión

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de
riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Conceptos de la administración de riesgos de
seguridad

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de
riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
¿Por qué desarrollar un proceso para la
administración de riesgos de seguridad?

Administración de riesgos de seguridad: Un proceso para identificar,

dar prioridad y administrar los riesgos a un nivel aceptable dentro de la
organización

Desarrollar un proceso formal para la administración de

riesgos de seguridad puede resolver lo siguiente:
El tiempo para responder a una amenaza
El cumplimiento con los reglamentos
Los costos de administración de la
infraestructura
La priorización y administración de los
riesgos
Identificar los factores de éxito que son fundamentales para
administración de riesgos de seguridad

Los factores clave para implementar un programa exitoso para la

administración de riesgos de seguridad incluyen:

 Patrocinio ejecutivo
Una lista bien definida de los involucrados en la administración
 de riesgos
Madurez organizacional en términos de administración de
 riesgos

 Una atmósfera de comunicación abierta y trabajo en equipo

 Una visión holística de la organización

 Autoridad del equipo de administración de riesgos de seguridad

Comparar los enfoques con la administración de
riesgos

Muchas organizaciones se han enfocado en la administración de

riesgos de seguridad al adoptar lo siguiente:

Enfoque Un proceso que responde a los eventos de

reactivo seguridad conforme ocurren

Enfoque La adopción de un proceso que reduce el

proactivo riesgo de nuevas vulnerabilidades en su
organización
 Comparar los enfoques con la priorización de riesgos
Enfoque Beneficios
Riesgos priorizados por su impacto
financiero; activos priorizados por sus
valores financieros
Los resultados facilitan la administración
Cuantitativo de riesgos por el retorno sobre la
inversión en seguridad
Los resultados se pueden expresar con
una terminología administrativa
Permite tener una visibilidad y
comprensión de los niveles de riesgos
Es más sencillo llegar a un consenso
Cualitativo No es necesario cuantificar la frecuencia
de las amenazas
No es necesario determinar los valores
financieros de los activos
Inconvenientes
Los valores del impacto asignados
a los riesgos se basan en las
opiniones subjetivas de los
participantes
Requieren mucho tiempo
Puede ser demasiado costoso
Granularidad insuficiente entre los
riesgos importantes
Dificultad para justificar la
inversión en el control debido a
que no existe una base para un
análisis costo-beneficio
Los resultados dependen de la
calidad del equipo de
administración de riesgos que se
haya creado
Presentar el proceso de administración de
riesgos de seguridad de Microsoft

4 Medir la efectividad
1 Evaluar los riesgos
del programa

3 Implementar
controles

2 Ayudar en la toma
de decisiones
Identificar los prerrequisitos de la administración de
riesgos de seguridad

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de
riesgos de seguridad
Evaluar los riesgos
Ayudar en la toma de decisiones
Implementar controles y medir la efectividad del programa
 Administración de riesgos vs. Evaluación de riesgos

Administración de riesgos Evaluación de riesgos

Administrar los riesgos de
Identificar y priorizar
Objetivo un negocio a un nivel
los riesgos
aceptable
Fase única del
Programa general a través programa de
Ciclo
de las cuatro fases administración de
riesgos

Programa Actividad programada Actividad continua

Alineado con los ciclos de

Alineación No aplica
la presupuestación
Comunicar los riesgos

Activo Amenaza Vulnerabilidad Mitigación

¿Qué trata de ¿Qué teme que ¿Cómo puede ¿Qué reduce
proteger? suceda? ocurrir la actualmente el
amenaza? riesgo?

Probabilidad
Impacto
¿Qué tan probable es la
¿Cuál es el impacto al negocio?
amenaza dados los controles?

Declaración de los riesgos bien fundamentada

Determinar el nivel de madurez de la administración de
riesgos de seguridad de su organización

Las publicaciones que le ayudan a determinar el nivel de madurez de la

administración de riesgos de su organización incluyen:

Security Self-Assessment Guide for

National Institute of Standards
Information Technology Systems
and Technology (SP-800-26)

Control Objectives for Information and

IT Governance Institute
Related Technology (CobiT)

International Standards ISO Code of Practice for Information

Organization Security Management (ISO 17799)
Realizar una auto-evaluación de madurez de la
administración de riesgos

Nivel Estado
0 No existe

1 Ad hoc

2 Repetible

3 Proceso definido

4 Administrado

5 Optimizado
Definir los roles y las responsabilidades

Ejecutivo Determinar los

patrocinador riesgos aceptables
“¿Qué es
lo importante?”

Grupo de
Evaluar los Definir los Medir las
seguridad de riesgos requerimientos de soluciones de
información seguridad seguridad
“Priorizar los
riesgos”

Grupo de informática Diseñar y crear Operar y soportar

“La mejor solución de control” soluciones de las soluciones de
seguridad seguridad
Evaluar los riesgos

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de
riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Descripción general de la fase de evaluación de
riesgos

• Planear la recopilación de
información de riesgos
• Reunir información de
riesgos
• Priorizar los riesgos

4 Medir la efectividad 1 Evaluar los

del programa riesgos

3 Implementar 2 Apoyar en la toma

controles de decisiones
Comprender la planeación de los pasos

Las principales tareas en la planeación de los pasos

incluyen:
 Alineación

 Definición del alcance

 Aceptación de los involucrados

 Establecer las expectativas

Comprender la recabación de la información
facilitada
Los elementos recopilados
durante la reunión de
información facilitada incluyen:
Activos de la organización
Descripción de los activos
Amenazas a la seguridad
Vulnerabilidades
Entorno actual de control
Controles propuestos
Las claves para una reunión de
información exitosa incluyen:
Reunirse de manera
colaborativa con los
involucrados
Desarrollar un soporte
Comprender las diferencias
entre analizar y cuestionar
Desarrollar buena voluntad
Estar preparado
Identificar y clasificar los activos

Un activo es cualquier cosa de valor para la organización y se

puede clasificar en uno de los siguientes:

 Alto impacto para el negocio

 Mediano impacto para el negocio

 Bajo impacto para el negocio

Organizar la información de los riesgos

Utilice las siguientes preguntas como guía durante los

análisis facilitados:
¿Qué activo se está protegiendo?
¿Qué tan valioso es el activo para la organización?
¿Qué se intenta evitar que le suceda al activo?
¿Cómo puede ocurrir la pérdida o exposición?
¿Cuál es el potencial de exposición para el activo?
¿Qué se hace en la actualidad para reducir la probabilidad o
el nivel de daño al activo?
¿Cuáles son algunas de las acciones que se pueden realizar
para reducir la probabilidad en el futuro?
 Calcular la exposición de los activos

Exposición: El nivel del daño potencial a un activo

Utilice los siguientes lineamientos para calcular la exposición de los activos:

Exposición
Pérdida severa o completa de los activos
alta
Exposición
Pérdida limitada o moderada
media
Exposición
Pérdida menor o nula
baja
 Calcular la probabilidad de las amenazas

Utilice los siguientes lineamientos para calcular la probabilidad para

cada amenaza y vulnerabilidad identificadas:

Amenaza alta Muy probable—se espera tener uno o más

impactos en un año

Amenaza Probable—se espera tener un impacto en

media dos o tres años

Amenaza baja No es probable—no se espera que ocurra

impacto alguno en los próximos tres años
Facilitar el análisis de los riesgos

La reunión para analizar los riesgos facilitados se divide en

las siguientes secciones:

1 Determinar los activos y escenarios de la organización

2 Identificar las amenazas
3 Identificar las vulnerabilidades
4 Calcular la exposición de los activos
5 Calcular la probabilidad de explosión e identificar los controles
existentes
6 Resumen de la reunión y siguientes pasos
Recorrido del escenario 1:
Facilitar el análisis de los riesgos

Facilitar una reunión de análisis de los riesgos

para Woodgrove Bank
 Escenario 1: Facilitar un análisis de los riesgos en
Woodgrove Bank

Woodgrove
Woodgrove BankBank
es unaes una institución
institución financiera
financiera para paraqueelseconsumidor
el consumidor encuentra en el
que sedeencuentra
proceso en el proceso
realizar un proyecto de realizar
de Administración un de
de riesgos proyecto
seguridadde
Administración de riesgos de seguridad
Tarea 1: Determinar los activos de la organización y los escenarios
Tarea 1:
Tarea
Tarea 4: Determinar
Calcular la exposición
3: Identificar los activos de la
las vulnerabilidades: losorganización
activos:
Tarea 2: Identificar las amenazas
y los escenarios:
Tarea Violación
5: a la integridad
Identificar los mediante
controles el abuso
existentes de unymediante
empleado
la deabuso
confianza:
Tarea 2:
Robo Identificar
de las
Tarea 3: Identificar
Dañino lasno
pero las
identificaciones amenazas:
del
vulnerabilidades
severo. Todos
consultor
los
financiero
consultores financieros
el
pueden
del
acceder
empleado de confianza utilizando ataques no técnicos, por ejemplo la
probabilidad
únicamente
ingeniería de explosión:
sociala olaelinformación
espionaje que administran.
Sistemas
Tarea4: Amenaza
6: de
Resumir cálculo
de eluna de intereses
pérdida
análisis dedelos
integridad
riesgos:para la
Tarea Calcular
Violaciónlaa exposición
la integridad demediante
los activos
el robo de identificaciones en los hosts
Robo dedecliente
las identificaciones
PIIinformación financiera deldel
consultor
consumidorfinanciero fuera de los hosts de
Acuerdo
LAN:
laElred
de
Puede que sus
generar hosts
un nivel remotos,
de daño o configuraciones
móviles,
severo o alto. no reciben el
Tareamismo
Facilitador
de área local de la evaluación
(LAN) mediante elde usolosde riesgos resume de el
Reputación
seguridad nivel
5: Identificar alosdecontroles
administración
existentes que losdede
yellarobo la LAN.
probabilidad de explosión
Violación
análisis yobsoletas
ponela integridad mediante
de relieve los activos, identificaciones
amenazas y en hosts
móviles:
de las Podría tener un nivel de daño financiero
severo o alto. Elde
grupo del análisis
vulnerabilidades
Robo
Información analizados.
identificaciones
financiera deldel consultor
cliente – Alto impacto fuera los hosts
financiero
observa que la configuración de la seguridad en los host remotos (HBI)
con
remotos o móviles como resultado de la configuración de seguridad
frecuencia
Tareaobsoleta
6: Resumir el están a la
análisis dezaga de los sistemas LAN.
los riesgos
 Definir las declaraciones de impacto

Este documento incluye la siguiente información:

Información recopilada durante el proceso de Recopilación de información

Activo Exposición

Descripción de Calificación de Calificación del

Información Nombre/ Clase del Niveles DiD Descripción de impacto
la la exposición
identificada Descripción activo aplicables la amenaza (A,M,B)
vulnerabilidad (A,M,B)
del activo
Recorrido del escenario 2:
Definir las declaraciones de impacto

Definir una declaración de impacto para

Woodgrove Bank
 Escenario 2: Definir una declaración de impacto
para Woodgrove Bank

Clase
Nombre del Nivel Descripción Descripción de la ER IR
del
activo DID de la amenaza vulnerabilidad (A,M,B) (A,M,B)
activo
Acceso no autorizado Robo de
Información a la información del identificaciones del
de inversión
consumidor mediante cliente LAN
financiera HBI Host A A
del el robo de las administrado a través
consumidor identificaciones del de configuraciones de
Consultor Financiero seguridad obsoletas
Acceso no autorizado Robo de
Información a la información del identificaciones fuera
de inversión
consumidor mediante del cliente remoto
financiera HBI Host A A
del el robo de las administrado a través
consumidor identificaciones del de configuraciones de
Consultor Financiero seguridad obsoletas
Acceso no autorizado Robo de
Información a la información del identificaciones
de inversión
consumidor mediante mediante el abuso de
financiera HBI Datos B M
del el robo de las empleados de
consumidor identificaciones del confianza, a través de
Consultor Financiero ataques no técnicos.
Comprender la priorización de los riesgos

Comenzar a
priorizar los
riesgos

Realizar la
Realizar la
asignación Prioridad del Detalle de las
Revisión con priorización
de prioridad riesgo a nivel prioridades
los de los
del riesgo a resumen de riesgo
involucrados riesgos a
nivel
detalle
resumen

Fin del proceso

de priorización
de los riesgos
 Realizar la asignación de prioridad del riesgo a nivel
resumen

1
Referencia de la calificación de impacto Calificación del riesgo a nivel resumen

3
Alto Moderado Alto Alto Impacto
Clase Alto Moderado Alto Alto
(de la
del Medio Bajo Moderado Alto Tabla de
activo Medio Bajo Moderado Alto
Bajo impacto
Bajo Bajo Moderado anterior)
Bajo Medio Alto Bajo Bajo Bajo Moderado
Nivel de exposición Bajo Medio Alto
Valor de la probabilidad

2 Alto. Muy probable—se espera tener uno o más impactos en un año

Medio. Probable—se espera tener un impacto en dos o tres años 4
Bajo. No es probable—no se espera que ocurra ningún impacto en
los próximos tres años

El proceso de priorización a nivel resumen incluye lo siguiente:

1 Determinar el nivel del impacto
2 Calcular la probabilidad a nivel resumen
3 Completar la lista de riesgos a nivel resumen
4 Revisión con los involucrados
Recorrido del escenario 3: Realizar la asignación de
prioridad del riesgo a nivel resumen

Realizar la priorización de riesgos a nivel

resumen para Woodgrove Bank
Escenario 3: Priorización de riesgos a nivel
resumen en Woodgrove Bank

Tarea 4:3:Determinar
1: Revisión conel los involucrados
nivel delriesgos
impacto:
Tarea 1: Determinar el nivelde
Tarea Completar la lista del impactoa nivel resumen:
TareaRiesgo
2: Calcular la probabilidad
por robo del empleadoade nivel resumen:
confianza:
El riesgo de abuso del Empleado de confianza se califica
Impacto
Tareacomo
2: Bajomoderado
Calcular
Probabilidad endela lista *de
Probabilidad
riesgos
probabilidad
robo del a
empleado a baja
nivel
nivel
de = Baja yBaja
resumen
resumen
confianza: no es
Imacto del robo del empleado de confianza:
necesario
Riesgo
Clase depor calificarlo
compromiso
activo en el*del
de HBI paso
hostdeLAN:
Exposición priorización
baja de riesgos a
=Media
Impacto
Probabilidad
nivel detallado de compromiso del host LAN:
Impacto
moderado alto * Probabilidad media = Alta
TareaProbabilidad
3: Completar la lista de riesgos
de compromiso
compromiso hostaLAN
del host nivel resumen
remoto: Alta se
Los riesgos
Riesgo
Impactopor por
delcompromiso
compromisodel del
delhost
hostremoto:
LAN: y remoto
califican
Impacto
Clase decomo
alto *altos
activo y por* lo
Probabilidad
de HBI tanto
alta =seAlta
Exposición les
altada= prioridad a nivel
Impacto alto
Tareadetallado
4: Revisión con los en involucrados
Registrar
Impacto del compromiso la
los resultados delhoja
hostderemoto:
cálculo de la Declaración
del
Claseimpacto
de activo de HBI * Exposición alta = Impacto alto
Calificación del riesgo a nivel resumen
Impacto
AltoReferencia de la calificación
Moderado de impacto Alto
Alto
(de la Moderado Alto
Alto Alto
anterior
ClaseMedio Bajo Moderado Alto
Tabla deldel Medio Bajo Moderado Alto
impacto)
activo
Bajo Bajo Bajo Moderado
Bajo Bajo Bajo Moderado
BajoBajo Medio Alto
Alto
ValorNivel Medio
de ladeprobabilidad
exposición
Realizar la asignación de prioridad del riesgo a
nivel resumen

Las cuatro tareas siguientes delinean el proceso para

desarrollar una lista de riesgos a nivel detallado:
1 Determinar el impacto y la exposición

2 Identificar los controles actuales

3 Determinar la probabilidad de impacto

4 Determinar el nivel detallado del riesgo

Utilice la plantilla de Priorización de riesgos a nivel detallado

(SRJA3-Detailed Level Risk Prioritization.xls)
Recorrido del escenario 4: Realizar la asignación de
prioridad del riesgo a nivel detallado

Realizar la priorización de riesgos a nivel

detallado para Woodgrove Bank
Escenario 4: Priorización de los riesgos a nivel
detallado en Woodgrove Bank

Tarea 1:
4: Determinar el impacto
nivel del yriesgo
la exposición:
a detalle:
Tarea3:1:Determinar
Tarea Determinarlaelprobabilidad
impacto y ladel exposición
impacto:
Tarea 2: Identificar los controles actuales:
Calificación del impacto * Calificación de la probabilidad
Calificación de la exposición por compromiso del host LAN: 4 (80%)
• HBI
Host= 10
LAN: LAN
8 *y 6remotos:
= 48 Es probable que todos los atributos de la
TareaLos2: Identificar
Consultores
Calificación
vulnerabilidaddel en los
impacto: controles
la Financieros
10
categoría * 80% 8 actuales
sólo
Alta=se pueden
verán dentro acceder
y fuera delaentorno
sus
Hosts
cuentas;
• Calificación
LAN remotos:
por
de Woodgrove 8en*un
10lafuturo
de laloexposición
tanto, =exposición
por 80cercano. esdel
compromiso inferior al 100%.
host remoto: 4 (80%)
Valor
HBI = 10 de la vulnerabilidad = 5 para ambos riesgos
Tarea Ambos
• Las
3: se
Determinar
Calificación del califian
notificaciones
impacto:lacomo
por correoun=riesgo
probabilidad
10 * 80% 8 general
electrónico
del para
impactoAlto
los hosts de
Efectividad del control:
revisión
Rango
o actualización
LAN: Resultado
del impactode=las preguntas
Entre
se envían
7 y 10 eldecual
proactivamente
efectividad del control=1
se compara con Alto
a todos los
usuarios.
Remoto: Resultado de las preguntas de efectividad del control=5
TareaCalificación
4: Determinar
total de laelprobabilidad:
nivel del (Suma
riesgodealadetalle
vulnerabilidad y
Las actualizaciones del antivirus y de revisión se miden y se
efectividad del control)
cumplen
LAN: 6
en la LAN cada ciertas horas. Este control reduce la
ventana
Remoto: 10de tiempo cuando los hosts LAN son vulnerables a
ataques.
Cuantificar los riesgos

Las siguientes tareas delinean el proceso para determinar

el valor cuantitativo:
1 Asignar un valor monetario a cada clase de activo

2 Registrar el valor del activo para cada riesgo

3 Producir la expectativa única de pérdida (SLE)

4 Determinar la tasa anual de ocurrencia (ARO)

5 Determinar la expectativa de pérdida anual (ALE)

Recorrido del escenario 5: Cuantificar los riesgos

Cuantificar los riesgos para Woodgrove Bank

Escenario 5:
Cuantificar los riesgos para Woodgrove Bank

Tarea
Tarea 3:
4: Producir
Determinar
5: Determinar lalaexpectativa
expectativa
la tasa anual deúnicade de pérdida
ocurrencia
pérdida anual (ALE)(SLE):
Tarea 1: Asignar valores monetarios a las clases de activos
(ARO):
Tarea
(SLE 1: Asignar valores monetarios a las clases de
* ARO)
activos: ARO del host LAN: Al optimizar la evaluación cualitativa de la probabilidad Media, el
TareaDescripción
2:Equipo dedela los
Identificar
loriesgos
menos una vezValor
elValor
valor
administración de riesgos
de ladel
del activo
en dosde
años;
claseactivo:
Clasificación
de seguridad
por lo tanto ellaARO
de queValor
calcula de la
el riesgo
aproximadoexposición
exposición es de .5
ocurrirá por
SLE
Tarea Utilizar
2: Identificar el valor
5% de los del Clasificación
activo
Lineamientos de la materialidad para evaluar los activos
Descripción
Información
ARO
Riesgo deldel de
host
host LAN la clase
financiera
remoto: del
Al optimizar consumidor
la evaluación Valor= de
cualitativa la la probabilidad
Clase
de del activoAlta, HBI
el ALE
de la SLE ARO
los riesgos
Equipo
Ingresos
(US$ del
de la administración
netos:
en millones) de$10
US$200 millones seguridad4calcula que el riesgo
riesgosaldeaño exposición 80% ocurrirá $8
una vez al año; poractivo
exposición
lo tanto el ARO aproximado es de 1.
HBI = US$10 millones
Tarea Clase del activo
(US$ en del
la
millones)
host
HBI: US$10$10
Riesgo del host remoto
3:Riesgo
Producir expectativa millones
única de(200 * 45%) (SLE) 80%
pérdida
Clasificación de la % del factor de$8
Valor
Clasedel
del
LAN
activo
Valor alto
activo =
de impacto
MBI: US$10
de negocios =millones
US$5
$M
millones (con baseexposición
en los gastos anteriores)
exposición
$10 4 80% $8 0.5 $4
Calificación (US$ en
Clase del activo LBI: US$1 millón (con
Rango de base
5 100
la en los gastos anteriores)
del activo Descripción
Clasemillones) Ejemplos de4descripción
80
Tarea 4: Determinar la tasa anual de ocurrencia (ARO)
cualitativa ARO
Riesgo
Valor HBI del host US$ millones 3 60
Alta remoto Probable >=1 Impacto una vez o más al año
Valor MBI $10 US$ millones
4 /2 80% $8
2 140 $8
Tarea (US$ en
Media 5: Determinar la expectativa de pérdida anual (ALE)(SLE
Por lo menos una vez*entre 1 y 3
millones) Probable .99 a .33
ARO)
Valor LBI US$ millones / 4 años 1 20

Por lo menos una vez después de

Baja No es probable .33
Valor de la clase de activo * %3del
Valor aproximado del riesgo = años
factor de exposición = SLE
Evaluar los riesgos: Mejores prácticas

Analice los riesgos durante el proceso de recopilación

 de información

Realice una investigación para generar una credibilidad


para calcular la probabilidad

 Comunique el riesgo en términos comerciales

 Concilie los nuevos riesgos con los riesgos anteriores

Realizar soporte a las decisiones

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de
riesgos de seguridad
Evaluar los riesgos
Apoyar la toma de decisiones
Implementar controles y medir la efectividad del programa
Descripción de la fase de apoya a la toma de
decisiones

4 Medir laprograma
efectividad del
1 Evaluar los
riesgos

3 Implementar
2 Apoyar la toma de
decisiones
controles
1. Definir los requisitos funcionales
2. Identificar las soluciones del control
3. Revisar la solución contra los requisitos
4. Nivel aproximado de la reducción de
riesgos
5. Costo aproximado de cada solución
6. Seleccionar la estrategia de mitigación de
riesgos
Identificar el rendimiento de la fase de apoyo a la
toma de decisiones

Los elementos clave para recopilar información incluyen:

Decisión sobre cómo manejar cada riesgo

Requisitos funcionales
Soluciones para un control potencial
Reducción de riesgos de cada solución de control
Costo aproximado de cada solución de control
Lista de soluciones de control que serán implementadas
Considerar las opciones de apoyo a la toma de
decisiones

Opciones para manejar los riesgos:

 Aceptar el riesgo actual

 Implementar controles para reducir los riesgos

Descripción general del proceso para identificar y
comparar los controles

Dueño de la mitigación

Identifica las soluciones potenciales del

control Comité directivo de
Determina los tipos de los costos seguridad

Lista final de las soluciones de

Equipo de administración de control
riesgos de seguridad

Calcula el nivel de la reducción de riesgos

Paso 1: Definir los requisitos funcionales

Equipo de
administración 1 Definir 3 Revisar las 4 Nivel
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos

Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones de aproximado
control de cada solución

Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 2: Identificar las soluciones del control

Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos

Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución

Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 3: Revisar las soluciones contra los requisitos

Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos

Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución

Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 4: Nivel aproximado de la reducción de riesgos

Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos

Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución

Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 5: Costo aproximado de cada solución

Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos

Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución

Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Paso 6: Seleccionar la estrategia para mitigar los
riesgos

Equipo de la
administración 1 Definir 3 Revisar las 4 Costo
aproximado de
de riesgos los requisitos soluciones contra
reducción de
funcionales los requisitos
riesgos

Dueño de
la mitigación 2 Identificar las 5 Costo
soluciones del aproximado
control de cada solución

Comité
directivo
6 Seleccionar la
de seguridad estrategia para
mitigar los riesgos
Realizar soporte a las decisiones:
Mejores prácticas

Considere asignar un técnico en seguridad a cada


riesgo identificado

 Establezca expectativas razonables

 Cree un consenso del equipo

Enfóquese en la cantidad de riesgos después de la


solución de mitigación
Implementar controles y medir la efectividad del
programa

Conceptos de la administración de riesgos de seguridad

Identificar los prerrequisitos de la administración de
riesgos de seguridad
Evaluar los riesgos
Apoyar en la toma de decisiones
Implementar controles y medir la efectividad del programa
Implementar controles

4 Medir laprograma
efectividad del
1 Evaluar los
riesgos

3 Implementar 2 Apoyar en la toma

controles de decisiones
• Buscar un enfoque holístico
• Organizar mediante una
defensa profunda
Organizar las soluciones de control

Los factores determinantes críticos para organizar las

soluciones de control incluyen:

 Comunicación

 Programar al equipo

 Requisitos de recursos
Organizar por defensa profunda

Físico

Red

Host

Aplicación

Datos
Medir la efectividad del programa

• Desarrollar tarjetas de resultados

• Medir la efectividad del control

4 Medir la efectividad del

programa 1 Evaluar los
riesgos

3 Implementar 2Apoyar en la toma

controles de decisiones
Desarrollar una tarjeta de resultados de los riesgos
de seguridad de su organización

Una tarjeta de resultados sencilla de los riesgos de

seguridad, organizada por niveles de defensa
profunda, se debe parecer a la siguiente:
AF05 T1 AF05 T2 AF05 T3 AF05 T4
Físico A M
Red M M
Host M M
Aplicación M A
Datos B B
Niveles de riesgo (A, M, B)
Medir la efectividad del control

Los métodos para medir la efectividad de los controles

implementados incluyen:

 Dirigir las pruebas

 Enviar informes periódicos sobre el cumplimiento

 Evaluar los incidentes de seguridad generalizados

Resumen de la sesión

Una amenaza comun entre la mayoría de las metodologías de administración de

 riesgos es que por lo general cada una se basa en la administración cuantitativa de
riesgos, en la administración cualitativa de riesgos o en una combinación de ambas

Determinar el nivel de madurez de su organización ayudará a enfocarse en la

 implementación y plazo de tiempo adecuados para su estrategia de administración
de riesgos

La evaluación de riesgos consiste en realizar una priorización de los riesgos a nivel

 resumen, y después realizar una priorización detallada de los riesgos sobre los
riesgos de impacto alto

La Guía de administración de riesgos de seguridad de Microsoft proporciona un

 número de herramientas y plantillas para ayudar con el proceso completo de
administración de riesgos

El enfoque de defensa profunda de Microsoft organiza los controles en diversos


niveles amplios que constituyen el modelo de defensa profunda
Siguientes pasos

Encuentre eventos adicionales de capacitación

sobre seguridad:
http://www.microsoft.com/seminar/events/security.mspx
Inscríbase para recibir comunicados de seguridad:
http://www.microsoft.com/technet/security/signup/
default.mspx
Solicite el kit de orientación de seguridad:
http://www.microsoft.com/security/guidance/order/
default.mspx
Obtenga las herramientas y contenido adicional de seguridad:
http://www.microsoft.com/security/guidance
Preguntas y respuestas