INFORMATION SECURITY AND RISK MANAGEMENT

INFORMATION SECURITY
La administración de la seguridad implementa políticas, procedimientos, estándares y líneas guía lo que suministra un balance de los controles de seguridad con las operaciones de negocio, es decir, la seguridad debe soportar la visión, misión y objetivos de negocio de la organización.

PRINCIPIOS CLAVE DE LA SEGURIDAD DE LA INFORMACION: CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD (CIA por sus iniciales en Inglés)

CONFIDENCIALIDAD: Este principio indica que solamente los individuos autorizados, procesos autorizados o sistemas autorizados, podrían tener acceso a la información. A través de los últimos años, se ha dedicado una gran cantidad de esfuerzo a la privacidad de la información. El robo de identidad es el acto de asumir la identidad de alguien por medio del conocimiento de información confidencial. La información debe ser clasificada para poder determinar su nivel de confidencialidad y quien podría tener acceso a la misma. La identificación, autenticación y autorización, a través de controles de acceso, son prácticas que soportan y mantienen la confidencialidad. INTEGRIDAD: la información debe ser protegida de cambios intencionales no autorizados o accidentales. Es decir, la información debe ser siempre exacta y solo modificable por quien esté autorizado para ello. DISPONIBILIDAD: la información debe estar disponible por los usuarios cuando estos lo requieran. La denegación de servicios por carencia de controles adecuados y perdida de servicios por un desastre, afectan la disponibilidad. GOBIERNO DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION Aunque no hay una definición universal para la gobernabilidad en seguridad, esta si debe garantizar que las actividades de seguridad de la información sean realizadas de manera que los riesgos sean efectivamente reducidos, las inversiones en seguridad sean bien dirigidas y que la dirección de la organización tenga la visión del programa de seguridad. El IT Governance Institute (ITGI), define la gobernabilidad de TI como “una estructura de relaciones y procesos para dirigir y controlar la empresa en orden al cumplimiento de los objetivos, agregando valor, haciendo un balance entre el riesgo y el retorno sobre TI y sus procesos”. El ITGI propone que la gobernabilidad de la seguridad de la información, podría ser considerada como parte de la gobernabilidad de TI y que la dirección esté informada de la seguridad de la información, conduzca la política y estrategia, suministre los recursos a los esfuerzos de seguridad, asigne las responsabilidades de administración, priorice, soporte los cambios requeridos y defina el valor cultural relacionado a la evaluación de riesgos, obtenga garantía de

auditorías internas y externas e insista en que las inversiones de seguridad sean medibles y reportadas en un programa de efectividad. El ITGI sugiere que la administración escriba las políticas de seguridad con el negocio, asegure que los roles y responsabilidades sean definidos y claramente entendidos, que las amenazas y vulnerabilidades sean identificadas, que la infraestructura de seguridad sea implementada, que los marcos de control sean implementados después de que la política sea aprobada por el gobierno corporativo, aplicar de manera oportuna la priorización, que las brechas de seguridad sean monitoreadas, que se hagan revisiones periódicas y que se realicen pruebas, que la educación en seguridad sea vista como critica, y que la seguridad sea construida como lo indica el ciclo de vida del desarrollo de los sistemas. POLITICA DE SEGURIDAD La política de seguridad, es un documento que debe ser realizado en conjunto entre las directivas del negocio y el personal encargado de la seguridad. Esto permite una amplia visión y cubrimiento de la política con respecto a los objetivos del negocio. Algunas de los lineamientos para la redacción de una política de seguridad:

• •

• •

Un proceso claro y definido para iniciar, crear, revisar, recomendar, aprobar y distribuir la política de seguridad. La política debe ser escrita por un periodo de tiempo de entre dos y tres años. Las políticas son declaraciones de alto nivel de los objetivos de la organización. Los métodos y tecnologías para las implementaciones pueden cambiar con una frecuencia mayor que la política. Estos cambios se pueden ver reflejados en otros documentos tales como procedimientos, estándares, líneas guía y líneas base. La declaración de la política necesitará menos cambios. Uso de palabras con directriz: en la declaración de la política el uso de palabras como Debe, Será, Tendrá, no dejará dudas al cumplimiento de la política. Por otra parte usar palabras como puede, quizás, deja huecos en el cumplimiento debido a que no enuncian obligatoriedad. Evitar detalles de implementación técnica. La política deberá ser independiente de la implementación técnica de los controles. Mantener la longitud en un mínimo. El objetivo de la política debe ser descrito en un mínimo de párrafos ya que su intención es que sea entendida por el usuario final. Una declaración extensa será más complicada de entender. Vinculación de la política a sus documentos de soporte. Hoy en día, al publicar documentos en línea a través de una intranet por ejemplo, permite enlazar estos documentos a otros relacionados. Enlazar la política a sus documentos de soporte es altamente efectivo ya que se asegura que los procedimientos adecuados son seguidos. Sin embargo se debe ser cauteloso ya que no todos los documentos de soporte podrían ser de dominio público en la organización.

La revisión de los incidentes de seguridad podría provocar una actualización de la política. PROCEDIMIENTOS . Tipos de política de seguridad. Este tipo de políticas tiene un menor alcance que la política organizacional y puede ser funcional o direccionada a áreas particulares que requieren claridad. Los estándares suministran la especificación de tecnología para efectivamente habilitar a la organización a volverse exitosa en el cumplimiento de los requerimientos de la política. Aprobar y firmar. Aquí se abordan los objetivos de la confidencialidad. Revisión periódica de la política.• • • • • • Revisar antes de publicar. su alcance puede ser un dominio específico como el control de acceso. etc. Revisar incidentes y ajustar la política. los estándares. Un proceso formal de revisión por la dirección asegura que la política este ajustada a los objetivos de la organización. • Organizacional: es emitida por un administrador senior individual que crea la autoridad y alcance del programa de seguridad. Desarrollar sanciones para no cumplimiento. La política de la organización define un alto nivel de autoridad y las sanciones apropiadas por caso de falla en el cumplimiento. Evitar lenguaje técnico. un cambio o un proceso de divulgación más efectiva. • • • ESTANDARES Las políticas definen las necesidades. Estas sanciones pueden incurrir en acciones disciplinarias. Si la política es aceptada por todos y esta lista su versión final. Se usa en áreas donde se requiere de un control operacional o técnico bastante estricto que lo indicado en la política organizacional. Política de sistema específico. Por ejemplo. etc. la administración debe aprobar y firmar la política. La política debe tener sanciones consistentes debido a su no cumplimiento. Un estándar suministra el acuerdo que provee interoperabilidad dentro de la organización a través del uso de protocolos comunes. El propósito del programa es describir y asignar las responsabilidades para llevar a cabo la misión de la seguridad de la información. integridad y disponibilidad. definen los requerimientos. plan de contingencia. Políticas a niveles más bajos y más detallados podrían requerir cambios con mayor frecuencia. terminación de contratos. Política funcional o de temas específicos. Antes de publicar la versión final de la política se recomienda sea revisada por un grupo si es posible interdisciplinario de la dirección para evitar posibles errores de un solo autor.

Existen muchas configuraciones y opciones para su aseguramiento. Una vez todos los involucrados entiendan el procedimiento. y plantillas. si se observa que la declaración de la directriz al cambiar la palabra por opcional se observa que no es adecuada ya que es considerada requerida. mejores prácticas. FRAMEWORKS DE AUDITORIA PARA CUMPLIMIENTO Existen una serie de marcos de trabajo para la auditoria de controles de seguridad. estándar o línea base. Si al realizar la declaración. se cambia la palabra directriz por opcional y esta es adecuada entonces esta es una directriz. Estas incluyen: • • • • Control del entorno Evaluación de riesgos Actividades de control Información y comunicaciones . Un análisis de estas opciones de configuración y la posterior configuración deseada forman la base para una implementación consistente del estándar. esta declaración no debe ser una directriz sino una política. hardware. Existe software. Las líneas base podrían ser revisadas periódicamente y posiblemente actualizadas de acuerdo a las amenazas emergentes y nuevas vulnerabilidades. para asegurar que la implementación sea consistente en todo sentido la organización.Son las instrucciones paso a paso en el soporte de las políticas. El procedimiento indica cómo será la política implementada y quien debe hacer que para completar la tarea. líneas guía y líneas base. BASELINES (LINEAS BASE) Suministran una descripción de cómo implementar los paquetes de seguridad.directriz) Son controles opcionales usados para realizar algún tipo de juicio sobre acciones de seguridad.Committee of Sponsoring Organizations Fue creado en 1985. COSO . Identifica 5 áreas de control interno necesarias para el cumplimiento para reporte financiero y divulgación de objetivos. Una documentación consistente del procedimiento permitirá la mejora del mismo. plataformas y redes con diferentes métodos para su aseguramiento. integridad y disponibilidad. se pueden aplicar muchas mejoras y comunicado nuevamente. que han sido aceptados a nivel mundial y que cubren en diferentes aspectos la confidencialidad. Las líneas guía son también recomendaciones. estándares. De lo contrario. GUIDELINES (Línea guía .

implementar. Algunas organizaciones usan una matriz de dos dimensiones para determinar las posiciones que podrían ser separadas dentro del departamento. SEPARACION DE FUNCIONES: un solo individuo podría no ejecutar todos los pasos de un proceso. borrar o agregar datos al sistema. COBIT define 4 dominios: Planear y organizar. Sin embargo. operar. En pequeñas organizaciones tal vez sea difícil de implementar debido a habilidades particulares requeridas para el reemplazo de un puesto de trabajo. ISO 27000 La administración de seguridad de la información.MEJORES PRÁCTICAS ROTACIÓN DE TRABAJO: reduce el riesgo de confabulación entre individuos.• Monitoreo. La rotación quizás permita descubrir actividades que un individuo está realizando fuera de los procedimientos normales. 214 objetivos de control que son el soporte para los 34 procesos de alto nivel. mantener y mejorar un SGSI y la ISO 27002 define 133 controles para la seguridad de la información. adquisición e implementación. ya que en los departamentos de sistemas de información se tienen privilegios para modificar. La separación de funciones reduce los errores o actos de fraude. La ISO 27001 define lo que se requiere para establecer. está definida en la familia ISO 27000. Esto es importante. monitoreo. monitorear. revisar. ITIL .Control Objectives for Information and related Technology Marco de trabajo para control interno en tecnologías de la información y áreas relacionadas que cuenta con 34 proceso de alto nivel. pueden variar entre las diferentes organizaciones. Estas responsabilidades incompatibles. COBIT . funciones que no debe realizar un mismo individuo pueden ser: • • Administradores de sistema Administradores de red . entrega y soporte. ESTRUCTURA ORGANIZACIONAL . Cada posición es colocada en la matriz y debe marcarse cuando las responsabilidades no deben ser asumidas por el mismo individuo.IT Infrastructure Library Es un conjunto de libros orientados a la prestación de servicios de IT.

Para ejecutar sus funciones. y comunicar el riesgo a la administración ejecutiva. MENOR PRIVILEGIO: se refiere a que se garantiza a los usuarios el acceso únicamente a lo requerido para la realización de su trabajo. tomar en consideración las amenazas y vulnerabilidades que impactan la organización. Auditoria de seguridad Administración de sistemas de información. En un periodo de vacaciones de un individuo. COMUNICAR EL RIESGO A LA ADMINISTRACION: el oficial de segurida de la información. alteración. Dependiendo de la organización y su naturaleza (Privada o no). También pueden ser removidos temporalmente los permisos y accesos del individuo en vacaciones para asegurar que no esté ejecutando procesos mientras esta afuera. este debe ser reemplazado. RESPONSABILIDADES DEL OFICIAL DE SEGURIDAD DE LA INFORMACION Es responsabilidad del oficial de seguridad de la información proteger los activos de información de todo el negocio contra perdida. es responsable por entender los objetivos de negocio de la organización. de manera que pueden ser observadas variaciones en los procedimientos. destrucción e indisponibilidad. divulgación. se pueden incluir individuos con niveles de título “C” en la administración ejecutiva como: • • • • CEO Chief Executive Officer COO Chief Operative Officer CFO Chief Financial Officer CIO Chief Information Officer El nivel ejecutivo también incluye vicepresidencias como: • Ventas y marketing . el oficial de seguridad depende de otros individuos en la organización para realizar todo su trabajo. asegurar que la evaluación de riesgo es realizada. Administración de cambios. SENSIBILIDAD DE LA POSICION DE TRABAJO: evaluar el daño que un individuo puede hacer si hace mal uso de sus funciones o procesos de trabajo puede ser la entrada para clasificar el acceso y permisos que podría tener.• • • • • • • Entrada de datos Operaciones computacionales Administración de seguridad Desarrollo de sistemas y mantenimiento. VACACIONES OBLIGATORIAS: los beneficios son similares a la rotación de trabajo.

EVALUAR LOS INCIDENTES DE SEGURIDAD Y LA RESPUESTA: el equipo de respuesta a incidentes (CIRT por sus siglas en ingles). así como las regulaciones que rigen la organización. El oficial de seguridad. es entender la visión. etc. MANTENERSE AL TANTO DE AMENAZAS EMERGENTES Y VULNERABILIDADES: el entorno de las amenazas está en constante cambio. checklist y líneas base sean documentadas . de manera que el oficial de seguridad debe estar al tanto de las mismas. debilidades. y el suministro de la correcta respuesta para reparar el sistema afectado y recolectar la evidencia para un potencial enjuiciamiento o sanción. ESTANDARES Y LINEAS GUIA: El oficial de seguridad de la información es responsable porque estos documentos sean escritos con el fin de resolver las necesidades de seguridad de la organización. LINEAS BASE. DESARROLLAR Y PROVEER PROGRAMAS DE CAPACITACION EN SEGURIDAD: El oficial de seguridad debe liderar el programa de capacitaciones y concientización de seguridad de la información de manera que asegura que esa capacitación sea entendible para la audiencia. misión y objetivos. es un grupo de individuos con las habilidades necesarias para evaluar los incidentes. las fortalezas. el impacto. Esto incrementa la oportunidad del éxito de la seguridad. si es de su interés mantener un balance apropiado entre el riesgo aceptable y las operaciones de negocio en el cumplimiento de los objetivos. ASEGURAR EL DESARROLLO DE POLITICAS. PROCEDIMIENTOS. DESARROLLAR EL PROGRAMA DE CUMPLIMIENTO DE SEGURIDAD: el cumplimiento periódico por inspección interna o externa asegura que los procedimientos. desarrollo de aplicaciones. asegura que los incidentes sean seguidos de manera oportuna. PRESUPUESTO PARA ACTIVIDADES DE SEGURIDAD DE LA INFORMACION: el oficial de seguridad de la información prepara el presupuesto para administrar el programa de seguridad de la información y asegura que en otros departamentos también se incluya presupuesto para seguridad como por ejemplo Helpdesk. El negocio y el equipo de administración debe ser responsable también en la medida en que su participación lo requiera. El oficial debe entender la presión de competitividad que encara la organización. Sin embargo. de manera que los controles de seguridad sean adecuados. amenazas y oportunidades. ENTENDER LOS OBJETIVOS DE NEGOCIO: parte del éxito dentro de la organización del oficial de seguridad. el costo/beneficio de un control de seguridad y el riesgo residual después de su implementación. Sin embargo esto no significa que todas las políticas sean escritas por el departamento de seguridad. Asimismo.• • • Administración Jurídico Recursos humanos Al equipo ejecutivo no le conciernen los detalles técnicos.

El oficial de seguridad debe asegurar que lo que se encuentra escrito en las políticas sea realizad en la práctica. RELACIONES EMPRESARIALES: dondequiera que el oficial de seguridad reporte. mejora la comunicación y demuestra a la organización la importancia de la seguridad de la información. comités de TI. recursos disponibles y la decisión de innovar.y seguidas en la práctica. MODELO DE REPORTES El oficial de seguridad de la información y los reportes de seguridad en la organización. liderar o continuar con los productos y prácticas de seguridad. La desventaja de reportar al CEO es que este puede tener otra cantidad de temas que atender y tal vez no asignar el tiempo necesario o el interés a los temas de seguridad. y también con los usuarios que seguirán la política. cultura. reglas y regulaciones gubernamentales estén integradas y sean cumplidas por el programa de seguridad de la organización. Las medidas de los procesos ayudan a mejorar dichos procesos. ASISTIR A LOS AUDITORTES INTERNOS Y EXTERNOS: La visión independiente de los auditores en los temas de seguridad suministra información esencial del diseño. ESTABLECER MERICAS DE SEGURIDAD: las medidas son recopiladas para suministrar información sobre tendencias a largo plazo y la carga de trabajo día a día y demuestran el efecto del no cumplimiento. reuniones administrativas y departamentales. . ASEGURAR CUMPLIMIENTO CON REGULACIONES DEL GOBIERNO: el oficial de seguridad debe asegurar que los requerimientos de las leyes. En este tipo de reuniones están incluidas las reuniones con la mesa directiva. MANTENERSE AL TANTO DE NUEVAS TECNOLOGIAS: El oficial de seguridad debe estar enterado de tecnologías emergentes para asegurar que las soluciones apropiadas estén implementadas basado en el apetito de riesgo de la organización. podrían ser reportados en un alto nivel en función de mantener visible la importancia de la seguridad de la información y limitar la distorsión o inexactitud en el traspaso de los mensajes que puede ocurrir debido a la profundidad en la jerarquía de la organización. es necesario que este tenga una alta credibilidad y una buena relación empresarial con los niveles alto y medio de administración. efectividad e implementación de los controles. No existe un modelo de cómo el oficial de seguridad debe reportar a la organización y a quien debe hacerlo. Las siguientes ítems podrían dar una visión de que opción se podría tomar en la organización. PARTICIPAR EN REUNIONES DE ADMINISTRACION: El oficial de seguridad debe estar involucrado en los equipos de administración y la planeación de reuniones que lo involucren para que sean efectivas. REPORTANDO AL CEO: al reportar al CEO se reduce altamente el filtrado de los mensajes.

Se pueden minimizar el conflicto de intereses. que quizá incluya seguridad física. En algunas ocasiones el CIO puede estar más orientado al cumplimiento de los objetivos de TI. industria. . También es benéfico debido a que el oficial y su equipo pueden tener un buen trato con todo el departamento de TI. los individuos tienen un perfil más orientado al negocio y a las tecnologías de la información. empleados de seguridad y HR. puede ser el conflicto de intereses. Su ventaja es que el acercamiento con HR permite enfocar de manera más adecuada todas las formas de información y no el oficial no está sesgado solamente a información electrónica. REPORTAR A SEGURIDAD CORPORATIVA: la seguridad corporativa está enfocada en la seguridad física de la empresa. el oficial de seguridad reporta directamente al CIO. sin embargo. La limitación es que el líder del área de servicios administrativos. como la rápida entrega de aplicaciones. tamaño. REPORTAR AL DEPARTAMENTO DE SERVICIOS ADMINISTARTIVOS: Es posible que el oficial de seguridad le reporte al vicepresidente de servicios administrativos. protección y servicios de investigación. Sin embargo el énfasis en el cumplimiento de las actividades puede ser más estricto que otras áreas como la consultoría en temas de seguridad y el soporte. ubicación de recursos. cultura. Aunque reportar a seguridad corporativa parece lógico. financiación apropiada y efectiva comunicación cuando se escoge un modelo adecuado. dependerá la adopción de alguno de los modelos nombrados. agentes de bolsa y compañías de investigación. REPORTAR AL DEPARTAMENTO DE SEGUROS Y ADMINISTRACION DE RIESGOS: este modelo de reporte puede ser útil para bancos. es decir. DETERMINAR LA MEJOR OPCION: de acuerdo al tipo de organización. por lo que la visión objetiva de las auditorias estaría sesgada. REPORTAR AL DEPARTAMENTO LEGAL: en industrias reguladas. La desventaja. La limitación es que el oficial de riesgos no esté al corriente de los sistemas de TI y su estrategia se enfoque menos en el tema los proyectos de seguridad del día a día. quizás sea una buena idea. La ventaja de este modelo es que el individuo a quien el oficial de seguridad está reportando. recursos humanos. incrementar la visión. no tenga el suficiente conocimiento técnico y se disminuya su habilidad de comunicación en esta área con el CEO. También. la distancia jerárquica entre el oficial de seguridad y el CEO es solo un nivel.REPORTAR AL DEPARTAMENTO DE TI: en este modelo. mientras que en seguridad de la información. El oficial de riesgos realmente conoce y está interesado en los riesgos que afectan la organización y los métodos de control de estos riesgos. Como ventaja. el departamento de auditoria interna y seguridad de la información se enfocan en el mejoramiento de los controles. REPORTAR AL DEPARTAMENTO DE AUDITORIA INTERNA: este modelo puede crear un conflicto de intereses ya que el departamento de auditoria interna es responsable de evaluar la efectividad y la implementación de los controles. tiene el entendimiento técnico y la influencia con administradores senior. los individuos de estas áreas están más orientados a otro perfil como el de justicia criminal. la seguridad de la información estaría también bajo su responsabilidad. al vicepresidente de sistemas o quien este a la cabeza del departamento de TI. minimizar costos por lo que la seguridad quedaría de cierta manera relegada.

definir referencias de contacto. SEGURIDAD DE PERSONAL. deberían realizarse varias actividades como la descripción del rol. estos planes pueden ser hechos por partes o si existen múltiples planes administrados por varios proyectos. aprovecha los conceptos de confidencialidad. Esta visión. El plan estratégico hace énfasis en el entorno de la organización y en el entorno técnico en el futuro. PLAN DE SEGURIDAD Los planes de seguridad Estratégicos. Estos planes son desarrollados en plazos de tiempo entre 6 y 18 meses. Normalmente esta declaración. DECLARACION D ELA MISIÓN: son los objetivos que soportan la totalidad de la visión. La baja moral de los empleados puede contribuir a la reducción del cumplimiento de los controles y con el tiempo bajos niveles de experticia. Descripción del rol: contiene las responsabilidades de la posición a ocupar en la organización. Por ejemplo procesos de distribución. experiencia y experticia requerida para realizar satisfactoriamente la función. PLAN ESTRATEGICO: están alineados con la estrategia de negocio y las metas de tecnología de información. . PLAN TACTICO: suministran una amplia iniciativa y soporte para el cumplimiento de las metas de negocio especificadas en el plan estratégico. no tiene un enfoque técnico. implementación de controles de cambio robustos. La duración de estos planes es de corto tiempo. PRÁCTICAS DE CONTRATACIÓN: antes de que una persona comience a laborar en la organización. integridad y disponibilidad para soportar los objetivos del negocio. PLANES DE OPERACIONES: planes específicos con objetivos. También debe incluir la educación. Dependiendo del tamaño y del esfuerzo. desarrollar acuerdos de confidencialidad. Son a largo plazo – 3 o 5 años -.COMITÉ DE SUPERVISION DE SEGURIDAD DECLARACION DE LA VISION: debe existir una clara visión que esté alineada y soporte la visión de la organización. Las políticas de terminación de contratos son necesarios para asegurar que los empleados que ya nos son miembros de la compañía no tengan más acceso a los sistemas y así disminuir la posibilidad de daño o interrupción de las operaciones. etc. Este plan debe ser revisado al menos una vez al año o cuando existan mayores cambios en el entorno de negocio o tecnológico qu afecten las metas propuestas. tácticos y operacionales están interrelacionados entre sí y cada uno suministra diferentes focos hacia el mejoramiento de la seguridad de la organización. Esta declaración es la fundamentación para el alcance de la visión. Contratar individuos calificados y confiables depende de las políticas de contratación de personal en la organización. fechas y rendición de cuentas. esto con el fin de que el plan sea completado. etc. Se ubican aquí las metas de alto nivel que suministran la visión para los proyectos en cumplimiento de los objetivos de negocio.

Educación en la concientización de la seguridad es un método por el cual muchas organizaciones informan a sus empleados acerca de los roles y expectativas alrededor de sus roles en el cumplimiento de los requerimientos de seguridad de la información. CONCIENTIZACION Y EDUCACION EN SEGURIDAD La concientización en seguridad puede ser definida como el entendimiento de la importancia de la seguridad en la organización. . Estas referencias son personas que el aspirante suministra y que deben contactarse para tener perspectivas diferentes del aspirante. ayuda a la organización al cumplimiento de los objetivos de los programas de seguridad el cual quizá también incluya el cumplimiento de regulaciones legales como HIPAA o Sarbanes Oxley. Todas las descripciones de roles en la organización deberían tener una referencia de las responsabilidades en seguridad y como estas responsabilidades son compartidas con la organización entera. habilidades de liderazgo. Continuidad del negocio. Respuesta a incidentes de seguridad. Referencias para verificación: durante la entrevista y proceso de contratación. Parte de esta información es suministrada por el mismo individuo en su currículo o en la entrevista pero debe haber puntos de referencia para corroborar la información suministrada. pero el propósito general es proteger a la organización mientras el empelado labora en ella así como después de la terminación de sus labores. perseverancia. etc. personas que minimicen futuras demandas. Educar a los usuarios. habilidades de planeación. Ingeniería social. Cumplimientos regulatorios. Los acuerdos varían en forma y contenido de acuerdo con cada organización. Clasificación de datos. debería ser posible determinar ciertos aspectos del pasado del aspirante. Las organizaciones quieren en sus empresas. Investigar de antecedentes: este tipo de información permite tener un punto de vista con respecto a la confiabilidad del individuo.Una falla en la descripción del rol. La seguridad es una amplia disciplina y existen muchos tópicos que podrían ser cubiertos en la educación de los usuarios. Etiquetado y manejo de información. Programa de seguridad de la organización. ética. podría generar una falsa sensación de seguridad así como que el individuo que aplica al rol puede carecer de los requerimientos necesarios. Recuperación de desastres. Estos pueden incluir: • • • • • • • • • Educación en políticas de seguridad corporativas. Acuerdos con el empleado: Los acuerdos son usualmente firmados por el empleado antes de comenzar el nuevo trabajo o durante el primer día. muchas organizaciones perciben el valor de promocionar la concientización en seguridad dentro de sus entornos. En los complejos entornos de negocios hoy en día. sus competencias.

etc. Algunos de ellos son: • • • • • Cursos formales entregados en un aula de clases. Cartelera que llamen la atención con temas de seguridad. presentaciones web u otro material. debido a que las funciones de estos roles lo requieren. Publicación de recordatorios en la intranet. Seguridad física Apropiado uso de recursos computacionales. Entrenamiento de funciones especiales: Distinto al entrenamiento general en seguridad. con presentaciones o libros. Días de entrenamiento con actividades de reconocimiento. un entrenamiento especial en seguridad para ciertos roles debe ser llevado a cabo dentro de la organización. contabilidad. nomina. Por ejemplo el personal de TI. Nombramiento de un educador en seguridad para la organización que ayude a los usuarios con los interrogantes. MÉTODOS Y ACTIVIDADES DE CONCIENTIZACIÓN: para promover la concientización en seguridad en la organización existen varios métodos aplicables. .• • • Personal de seguridad.

fraude. bajo poder y desastres naturales. EQUIPO DE ADMINISTRACION DE RIESGO: La meta del equipo de administración de riesgos es proteger la información de manera balanceada costo-efectividad. Existen distintos tipos de riesgo. errores de entrada y buffer overflows. El mapeo de riesgos a objetivos de rendimiento y presupuestos. Indicadores para monitorear la efectividad de los controles. y un equipo IRM. Mal funcionamiento del equipo: falla de los sistemas y dispositivos periféricos. Mal uso de datos: compartir secretos de marca. Enfoque hacia cambios de comportamiento del staff y ubicación de recursos en respuesta al análisis de riesgos.RISK MANAGEMENT Information Risk Management (IRM) es el proceso de identificar y evaluar riesgos con el fin de reducirlos a un nivel aceptable con la correspondiente implementación de los mecanismos necesarios para mantener ese nivel. espionaje o robo. POLITICA DE ADMINISTRACION DE RIESGO DE LA INFORMACION. Para una apropiada administración de riesgos. Un proceso formal de identificación de riesgos. Perdida de datos: puede ser intencional o no. Ataques internos o externos: Hacking. Para que la meta pueda llegar a ser cumplida los siguientes componentes deben existir: . una política de IRM (administración de riesgos de la información). Las principales categorías son: • • • • • • • Daño físico: Fuego. inundación. Interacción humana: acciones o falta de ellas de manera accidental o intencional que pueden interrumpir la productividad. puede ser una parte de la política de riesgos de la organización. se requiere un administrador de nivel senior. La conexión entre la política de IRM y el proceso de planeación estratégica de la organización. Mapeo de riesgos y controles internos. Responsabilidades y roles de IRM. Error de aplicaciones: error de programación. cracking o ataques. La política de IRM. procesos documentados. Esta política podría contener: • • • • • • • • • Los objetivos del equipo que informa el IRM El nivel de riesgo que la compañía aceptará y lo que es considerado un riesgo aceptable.

Suministrar un balance entre el impacto de la amenaza y el costo de la contramedida. relevancia. entendiendo cuales son los activos y amenazas a evaluar. Entrenamiento y concientización en seguridad para todos los miembros con activos de información. . es usado para asegurar el balance costo-efectividad. Integración del IRM y los procesos de control de cambios de la organización para asegurar que los cambios no introduzcan nuevas vulnerabilidades. es un método de identificar vulnerabilidades y amenazas y evaluar el posible daño para determinar donde implementar salvaguardas. Mapeo de requerimientos legales y regulación para controlar e implementar requerimientos. el equipo de IRM debe dimensionar el proyecto. Recursos apropiados y asignación de presupuesto por parte del administrador senior. Antes de que la evaluación y el análisis de riesgos comiencen. El análisis de riesgos suministra una comparación costo-efectividad. Cuantificar la probabilidad y el impacto al negocio de estas amenazas potenciales. Procesos y procedimientos de evaluación de riesgos documentados. Habilidad de identificar y evaluar nuevos riesgos como del entorno y cambios de la organización. El análisis de riesgos. oportuno y respuesta a incidentes. el equipo de evaluación de riesgos podría no gastar tiempo adicional o recursos evaluando estos activos. Planes de contingencia donde la evaluación indique la necesidad de estos planes. Una de las tareas del equipo es realizar un informe detallado de la evaluación de los activos. Procedimientos para evaluación y mitigación de riesgos. ANALISIS DE RIESGOS El análisis de riesgos. la cual compara el costo anual de la contramedida con el costo potencial de la perdida. Los objetivos principales del análisis de riesgos son: • • • • Identificar los activos y su valor Identificar las vulnerabilidades y amenazas. Si la administración determina en una etapa temprana del proyecto que algunos activos no son importantes. El administrador senior debe revisar y aceptar la lista y definir el alcance del proyecto IRM. exceda el costo de la contramedida. El análisis de riesgos ayuda a las compañías a priorizar sus riesgos y a mostrar cómo administrar la cantidad de dinero que podría ser necesaria en la protección en contra de estos riesgos. La habilidad de establecer mejoras o mitigación. podría no ser implementada a menos que el costo de la pérdida anual. Desarrollo de métricas e indicadores de rendimiento para medir y administrar varios tipos de riesgo.• • • • • • • • • • • Un nivel de aceptación de riesgo establecido por un administrador senior. Una contramedida en muchos casos.

pero estas medidas necesitan ser derivadas.Un análisis de riesgos ayuda a integrar los objetivos del programa de seguridad con los objetivos y requerimientos del negocio. Propiedad del riesgo. usuarios autorizados y no autorizados. no conoce cuánto dinero y tiempo podría gastar en protegerla. El valor actual de un activo está determinado por el costo que toma adquirirlo. designar el equipo para llevar a cabo la evaluación disponer del tiempo y recursos para conducir el análisis. La administración debe definir el propósito y alcance de estos del análisis. que trabajo es requerido para desarrollarla. Una vez la compañía conoce cuantos son sus activos y su valor y la posibilidad de amenazas a las que están expuestos. mayor será el éxito de los dos. Los miembros del equipo. cual es el costo de mantenerla. Si la compañía no conoce el valor de la información y sus activos. podrían ser: • • • • • • Parte de la administración. que daño podría causar si se destruyera. debe incluir individuos de varios departamentos para asegurar que todas las amenazas sean identificadas. EL EQUIPO DE ANALISIS DE RIESGOS Para un análisis de riesgos efectivo. El valor colocado en la información es relativo a las partes relacionadas. Programadores de aplicaciones Ser parte del staff de TI Integradores de sistemas Administradores operacionales. VALOR D ELA INFORMACION Y LOS ACTIVOS. Alguna información es tan importante para una compañía que . que enemigos podrían pagar por esta información. Costos que conforman el valor Un activo puede tener medidas cuantitativas y cualitativas asignadas. El propietario de un riesgo en la organización dependerá de la situación y el riesgo evaluado. Si por alguna razón. La administración debe soportar y dirigir a través de un administrador senior el análisis de riesgos. el equipo de análisis de riesgos. pueden tomar decisiones acertadas acerca de cuánto dinero gastar para proteger estos activos. Cualquier persona de las áreas claves de la organización. se debe asegurar a través de entrevistas u otro medio que las áreas no incluidas sean tenidas en cuenta para entender completamente y poder cuantificar todas las amenazas. desarrollarlo y mantenerlo. el equipo de análisis de riesgos no puede incluir a personas clave de cada área o departamento. El valor es determinado también por la importancia que tiene para los propietarios. Entre más alineados estén.

El análisis cualitativo no usa cálculos. los cuales pueden variar con el tiempo. Podrían ser consideradas los siguientes ítems para valorar los activos: • • • • • • • • Costo de adquirir o desarrollar el activo. Precio que otros estarían dispuestos a pagar por el activo.puede llegar a ser secreto de marca. El análisis cuantitativo del riesgo. se intenta asignar números reales y significativos a todos los elementos del análisis de riesgos. suministra porcentajes concretos de probabilidad cuando se determina la probabilidad de las amenazas. El valor de un activo podría reflejar los costos identificables de este activo en caso de surgir daños. Utilidad y rol del activo en la organización. ANALISIS DE RIESGO CUANTITATIVO Los dos enfoques para el análisis de riesgos son el cuantitativo y el cualitativo. valor de los activos. Y aquí siempre existe incertidumbre para dar valores reales a estos ítems. Entender el riesgo de manera exacta. Cuando estos valores son cuantificados. Costo de mantener y proteger el activo. Cumplimiento legal y regulatorio. Cuanto podría costar a la compañía no proteger el activo? Determinar el valor de los activos es importante y útil por diferentes razones. En el análisis cuantitativo. Estos números pueden incluir costos de salvaguarda. efectividad de la medida de control. Los activos pueden ser tangibles e intangibles. Valor del activo para los propietarios y usuarios. probabilidades de explotación. Usualmente es complicado cuantificar valores de los activos intangibles. es un escenario basado en la opinión. frecuencia de la amenaza. Costo de reemplazar este activo si es perdido. Determinar el nivel de cobertura de seguros. y mas. El análisis cuantitativo intenta predecir el nivel de perdida en dinero y el porcentaje de oportunidad de cada tipo de amenaza. El análisis de riesgo cuantitativo puro no es posible debido al método que intenta calificar los ítems cualitativos. Entender el valor del activo es el primer paso para entender los mecanismos de seguridad y el presupuesto para protegerlo. Estas podrían incluir: • • • • • Realizar un análisis costo efectividad Seleccionar contramedidas y salvaguardas específicas. . Valor de la propiedad intelectual dentro del desarrollo de la información. En vez de esto. Actividades operacionales y de producción afectadas si el activo no está disponible. impacto en el negocio.

Varias herramientas automatizadas pueden hacer la tarea más sencilla y exacta. Que daño físico podría causar la amenaza y cuánto podría costar. c. Cuál es el costo de mantenerlo c. Esto da una idea más amplia de que riesgos son más críticos y su prioridad de resolución. Derive el total anual de perdida potencial por amenaza a. realizar cálculos rápidamente. 4. Cuál es el valor de este activo en la organización. Cuál es la expectativa única de perdida(single loss expectancy . Estas herramientas tienen la capacidad de realizar varios recalculos en diferentes escenarios para varias situaciones. Cuál es el valor de la perdida si los dispositivos críticos fallaran. Calcule la expectativa anual de perdida (annualized loss expectancy . El objetivo de las herramientas automatizadas es reducir el esfuerzo manual de estas tareas. f. estimar perdidas y determinar la efectividad y los beneficios de las contramedidas seleccionadas. 2. Cuál es el costo de recuperarse de esta amenaza. b. Cuánto cuesta adquirirlo o desarrollarlo f. c. Llevar a cabo un análisis costo-beneficio para indicar las contramedidas. Estimar la perdida potencial por amenaza a. Seleccione las medidas de remediación para contraatacar cada amenaza d. b. b.Métodos de análisis de riesgo automatizado: La recopilación de los datos necesarios para ser colocados dentro de las ecuaciones de análisis de riesgos y la interpretación apropiada de los resultados pueden ser abrumadores si se hacen manualmente. que indica cuantas veces puede suceder la amenaza en un periodo de 12 meses. Asignar valores a los activos: para cada activo. Cuánto cuestan los beneficios que este activo hace para la compañía. d. . Cuál es la responsabilidad que se tiene si el activo es comprometido. Realizar un análisis de amenazas a. Combine la perdida potencial y la probabilidad b. Obtenga la información de la probabilidad de cada amenaza de las personas en cada departamento. Cuál es el valor de la perdida si información confidencial fuese divulgada. Que pérdida de productividad podría causar la amenaza y cuánto podría costar.ALE) por amenaza usando la información calculada en los primeros tres pasos. d. Calcule la tasa de ocurrencia anualizada (annualized rate of ocurrence – ARO). Pasos de un análisis de riesgos: 1. Cuánto podría costar recuperar el activo e. responder estas preguntas puede ayudar a asignar un valor: a.SLE)para cada activo y cada amenaza 3. Examine registros anteriores y recursos de seguridad oficiales que puedan suministrar este tipo de datos. e.

000. el valor del ARO será 0. si la probabilidad de fuego es de 0.000 * 0. Alterar el entorno iv. Por ejemplo si la probabilidad de inundación en el área geográfica es de una en 1000 años. es de $ 1’000. se usa la ecuación: SLE * tasa de ocurrencia anual (annualizad rate of ocurrence – ARO) = ALE La tasa de ocurrencia anual ARO. el SLE para este activo y esta amenaza será 1’000. rediciendo los daños de la amenaza. Métodos de reducción de riesgo: i. Instalar controles de seguridad y componentes ii. Mejorar procedimientos iii.es una cantidad de dinero que es asignada a un único evento que representa una pérdida potencial si la amenaza específica tomara lugar.000 entonces: ALE = 250. Aquí una definición de los conceptos utilizados en los anteriores pasos para el análisis de riesgo cuantitativo: La SLE – Singel loss expectancy .1 y SLE es de 250.001. Reducir. v. En nuestro ejemplo. Suministrar métodos de detección temprana para captar la amenaza que está sucediendo y reducir el posible daño que esta puede causar. Por tanto.5. Aceptación de riesgo: vivir con el riesgo y no invertir en la protección. Evitar el riesgo: eliminar la actividad que está causando el riesgo.000 * 25% = 250. Producir un plan de contingencia de cómo el negocio puede continuar si una amenaza específica toma lugar. Una amenaza de fuego podría dañar el 25% del activo. transferir evitar o aceptar el riesgo a. Llevar a acabo entrenamiento en seguridad b.000 Para determinar el ALE (annualizad loss expectancy . es un valor que representa la frecuencia estimada de una amenaza específica que toma lugar dentro de un tiempo de 12 meses. representa el porcentaje de perdida que una amenaza materializada podría tener en un activo especifico. Colocar barreras a la amenaza vii. Valor del activo * factor de exposición (Exposure Factor – EF) = SLE El factor de exposición (EF).1 .0 (al menos una vez al año) a más de uno (más de una vez al año). EF: El valor de un activo.0 (Nunca puede ser este valor) a 1. Transferencia de riesgo: adquisición de seguros a través de compañías aseguradoras c.ALE). vi. El ranfro puede estar entre 0. el factor de exposición para este activo por esta amenaza. d. es decir.

Algunas técnicas cualitativas para la obtención de datos son Delphi.ALE = 25. El equipo que realiza el análisis consigue personal que tiene experiencia y educación en amenazas que están siendo evaluadas. Si se tiene un 30% de nivel de confidencia. así como la cultura e individuos de la compañía envueltos en el análisis.000 o menos para proteger anualmente el activo. la causa de la amenaza es importante para determinar cómo puede ser gastado para protegerse en contra de la amenaza en primer lugar y tomar la decisión si protegerse o no. El equipo de análisis de riesgo determina la mejor técnica para las amenazas que deben ser evaluadas. Cuando este grupo es presentado en un escenario que describe las amenazas y . pero no es posible predecir el futuro y cuanto el futuro le costara a la compañía. Tener el grado de incertidumbre cuando se lleva a cabo un análisis de riesgo es importante debido a que indica el nivel de confidencia que el equipo y la administración podrían tener en las cifras resultantes. entonces se puede decir que se tiene un 70% de nivel de incertidumbre. Probabilidad de ocurrencia de cada amenaza. ANALISIS DE RIESGO CUALITATIVO En un análisis de riesgo cualitativo. Resultados del análisis de riesgos: En la lista siguiente se numeran las expectativas del resultado del análisis de riesgos: • • • • • Valores monetarios asignados a los activos Lista comprensiva de las amenazas más significativas y posibles. Las técnicas de análisis cualitativo incluyes el juzgar. las mejores prácticas. Perdida potencial que la compañía puede soportar por cada amenaza en 12 meses. encuestas. Principio de incertidumbre: En el análisis de riesgo se refiere al grado con el cual usted deja la confidencia en un estimado. tormenta de ideas. la intuición y la experiencia. puede indicar a la compañía si colocar controles o salvaguardas para proteger el activo de la amenaza estudiada ya que el resultado indica que serán usados $25. En el análisis cuantitativo se puede hacer el mayor esfuerzo en suministrar la correcta información con valores bastante cercanos a la realidad. reuniones uno a uno o entrevistas.000 El valor del ALE. listas de chequeo. Esto es expresado en porcentaje. grupos de foco. Recomendación de salvaguardas. Un análisis cuantitativo es considerado subjetivo y no objetivo por mucha gente. cuestionarios. contramedidas y recomendaciones. se estudian diferentes escenarios de posibilidades de riesgo y se valora la gravedad de las amenazas y se validan las diferentes contramedidas basados en opiniones. Conociendo la posibilidad real de la amenaza y el valor del daño en términos monetarios.

Un escenario de aproximadamente de una página de longitud es escrito para cada amenaza importante. fortaleza de las salvaguardas. es que la comunicación debe suceder con todos los miembros del equipo para renquear el riesgo. perdida potencia y ventajas de cada salvaguarda. de lo que él o ella piensa del resultado de la materialización de una amenaza. identificar debilidades. Una vez el personal seleccionado valore la posibilidad de la ocurrencia de la amenaza. Este proceso se repite hasta que exista un consenso de opiniones. A continuación se numeran algunas. Cada miembro del grupo suministra su propia opinión de cierta amenaza y la devuelve al equipo para que este realice el análisis. CARACTERISTICA CUANTITATIVO CUALITATIVO X X X No requiere Cálculos Cálculos complejos X Alto grado de conjetura Suministra áreas generales e indicaciones de riesgo Fácil de automatizar y evaluar X Usado en seguimiento de rendimiento de risk management X Suministra análisis costo/*beneficio más creíbles X Usa métricas independientemente verificables y objetivas X Suministra las opiniones de individuos que conocen mejor el proceso Muestra claros valores acumulados de perdida en un año x X . cada miembro responde con su instinto y experiencia sobre la probabilidad de la amenaza y extensión del daño que pueda resultar. La posibilidad de exposición y posibilidad de pérdida pueden ser valoradas entonces como alta. podría revisar el escenario para asegurar que este refleje como la actual amenaza puede materializarse.pérdidas potenciales. media o baja o una escala de 1 a 5 o 1 a 10. perdidas y probabilidades de ocurrencia sin que existan acuerdos verbales entre individuos. Las salvaguardas que minimizan el daño de esta amenaza son evaluadas y el escenario es colocado para cada salvaguarda. Los resultados son compilados y distribuidos a los miembros del grupo quienes escriben sus comentarios de manera anónima. y las personas quienes conocen estos temas que suministran sus mejores opiniones a la administración. Este método es usado para obtener un acuerdo en cuanto a costos. Los beneficios de este tipo de análisis. Análisis Cuantitativo Vs Análisis Cualitativo: Cada método de análisis de riesgos tiene sus ventajas y desventajas. y lo devuelven. Esto evita la presión de otros procesos y habilita a los miembros a participar de forma independiente y anónima. esta información es compilada en un reporte y presentada a la administración para ayudar a tomar mejores decisiones de cómo implementar mejor las salvaguardas en el entorno. Técnica DELPHI Es un método de decisión grupal usado para asegurar que cada miembro de su honesta opinión. El experto que esta mas familiarizado con la amenaza.

Sin herramientas automatizadas. Se requiere de más trabajo preliminar para obtener información detallada acerca del entorno. continuidad del negocio y recuperación de desastres.El equipo de análisis de riesgo. todos están sujetos a sus propios riesgos y amenazas y a planeación de requerimientos. Mecanismos de control de acceso. construcción de sitios. MECANISMOS DE PROTECCIÓN: Después de conocer los riesgos. dictarán el enfoque – cuantitativo o cualitativo – que será usado. Esto requiere otro tipo de análisis: Análisis de costo/beneficio. y cultura de la compañía. es decir. herramientas de análisis de riesgos. Desventajas del proceso cuantitativo • • • • Cálculos mucho más complejos. Desventajas del proceso cualitativo • • • • La evaluación y resultados son básicamente subjetivos Usualmente elimina la oportunidad de crear discusión alrededor de un valor costo/beneficio Difícil de hacer seguimiento de los objetivos de administración de riesgos con medidas subjetivas. este proceso es más laborioso. . Un cálculo común de costo/beneficio de una salvaguarda es: ALE (antes de la salvaguarda) – ALE (Después de la salvaguarda) – Costo anual de la salvaguarda = valor de la salvaguarda para la compañía. administración. pérdida de poder y malfuncionamiento de equipos. No hay estándares disponibles. debe tener buena sensibilidad en el negocio. Cada proveedor tiene su propia forma de interpretación del proceso y sus resultados. el siguiente paso es identificar los actuales mecanismos de seguridad y evaluar su efectividad. también llamada salvaguarda. No hay estándares disponibles. El objetivo de ambos métodos es estimar el riesgo real de la compañía y calificar la severidad de las amenazas para que las correctas contramedidas sean implementadas dentro de un presupuesto adecuado. Debido a que una compañía tiene un amplio rango de amenazas. consideraciones de software de aplicaciones. protección contra fuego. cada tipo de amenaza debe ser resuelta y planeada de manera individual. ubicación geográfica. Selección de contramedidas Una contramedida de seguridad. Cada proveedor tiene su propia forma de interpretación del proceso y sus resultados. tener costo/efectividad. la probabilidad de ocurrencia y el impacto.

Menor privilegio por defecto Cuando sea instalado. debe evaluar la efectividad y funcionalidad de las salvaguardas. Independencia de la salvaguarda y el activo que se Una salvaguarda puede ser usada para proteger protege.000.000 . y el ALE después de la salvaguarda es de $25. el valor de la salvaguarda para la compañía es: $100. El costo de la contramedida es más que solo la cantidad gastada en la orden de compra.$5. Costos de operación y soporte Efectos en la productividad.000.Por ejemplo. si el ALE de la amenaza de un hacker que penetra un servidor web. Protección uniforme Un nivel de seguridad es aplicado a todos los mecanismos que está diseñado para proteger en un método estandarizado.000 = $70. Funcionalidad y efectividad de las contramedidas El equipo de análisis de riesgo. lo cual Modular CARACTERISTICA . es $100. Esta funcionalidad podría venir con flexibilidad. Suministra funcionalidad de anulación Un administrador puede anular las restricciones si es necesario. Requerimiento de pruebas. algunos atributos son más favorables que otras. varios activos y varios activos pueden ser protegidos por diferentes salvaguardas. Flexibilidad y seguridad A mayor seguridad mejor salvaguarda. Algunos de los atributos que podrían ser considerados son: DESCRIPCIÓN Puede ser instalada o removida de un entorno sin efectos adversos a otros mecanismos. Los siguientes ítems podrían ser considerados y evaluados cuando derivan del costo total de una contramedida: • • • • • • • • • • • • Costo del producto Costos de planeación y diseño Costos de implementación Modificaciones de entorno Compatibilidad con otras contramedidas Requerimientos de mantenimiento.000.000 – $25. Cuando se selecciona una salvaguarda. Reparación. reemplazos o costos de actualización. los permisos y derechos con menor privilegio deben quedar por defecto y no instalar con control total a todos. Costos de subscripción Horas hombre extra para monitoreo y respuesta de alertas. mientras que el costo anual de la operación y mantenimiento de la salvaguarda es $5.000 antes de implementar la salvaguarda.

Fácilmente actualizable El software continúa evolucionando y las actualizaciones no causan pánico. Clara distinción entre usuario y administrador. que protección adecuada está colocada. productividad o agrega pasos extra a simples tareas. Mínima intervención humana Cuando se deba configurar o modificar controles.habilita a seleccionar diferentes funciones en vez de todas o ninguna. No debe causar pánico a los usuarios. los usuarios no la tolerarán Debe producir una salida utilizable y en formato Información importante debe ser presentada en entendible. Aunque la salvaguarda sea altamente visible. un formato fácil de entender y usar. Este podría ser un mecanismo que es parte de la salvaguarda para suministrar un mínimo o auditoria detallada Minimiza la dependencia de otros componentes. Rendimiento de usuario y sistema El rendimiento de los usuarios y sistemas podría no ser altamente afectado. Funcionalidad de auditoria. Estas indican a los potenciales atacantes. La salvaguarda podría ser flexible y no tener requerimientos estrictos acerca del entorno dentro del cual será instalada. Puede ser probada La salvaguarda debería estar hábil para ser probada en diferentes entornos bajo diferentes situaciones. los atacantes no deberían estar hábiles . Aplicación universal La salvaguarda puede ser implementada a través de cualquier entorno y no requerir excepciones. sin afectar el sistema o activo que se está protegiendo. esto abre las puertas a errores. Debe ser reiniciable Los mecanismos deben estar hábiles para ser reiniciables y poder volver a la configuración original. Un usuario podría tener pocos permisos cuando este intenta configurar o deshabilitar mecanismos de protección. Fácilmente utilizable. Protección de activos El activo debe estar protegido aun si la contramedida debe ser reinicializada. y que ellos podrían moverse a un objetivo más fácil. No introduce otros compromisos. aceptable y tolerada por el Sí la salvaguarda suministra barreras a la personal. Las salvaguardas pueden proveer atributos de impedimento si estas son altamente visibles. Interacción con el usuario. No afecta a los activos Los activos del entorno podrían no verse afectados contrariamente por la salvaguarda. Alertas La herramienta debe estar hábil para configurar umbrales para alertar sobre una brecha de seguridad. La salvaguarda podría requerir poca intervención humana. La salvaguarda podría no suministrar canales encubiertos o puertas traseras.

Ningún sistema es 100% seguro. o conocer como saltarse los mecanismos de protección. así habilitarlos a intentar modificar la salvaguarda. Después de realizar la evaluación. Una compañía quizás opte por tomar el riesgo total si el análisis costo/beneficio. Algunas fórmulas conceptuales usadas solamente para mostrar la relación de los ítems que conforman el riesgo en forma de concepto. Este es llamado riesgo residual. el cual es el riesgo que encara una compañía si9 no se implementa algún tipo de salvaguarda. se debe revisar la funcionalidad y efectividad de las salvaguardas para determinar cuáles prestarán mayores beneficio en el entorno. Aquí se indica el presupuesto para proteger los activos específicos. Selección de contramedidas e implementación Riesgo Total y Riesgo Residual. Estos pasos y la información resultante ayuda a la administración en la toma de decisiones inteligentes acerca de la adquisición de las contramedidas. El riesgo residual. La razón de que una compañía implemente contramedidas es reducir el riesgo total a un nivel de riesgo aceptable. lo que significa que siempre existirá algún riesgo. es diferente al riesgo total. En resumen. Activos e información de asignación del valor Análisis de riesgo y evaluación.para descubrir cómo esta trabaja. Finalmente la compañía evaluara y comparará los costos de las salvaguardas. Es importante diferenciar entre el riesgo total y el riesgo residual y que tipo de riesgo está dispuesta la compañía a aceptar. una compañía debe primero decidir cuales activos deben ser evaluados y cuales exceptuados del análisis. Amenaza * Vulnerabilidad * Valor del Activo = riesgo total (Amenaza * Vulnerabilidad * Valor del Activo) * Diferencia de control = riesgo residual Se pueden ver estos conceptos mostrados así: . indica que esta es la mejor acción.

Valor del Activo = riesgo total Riesgo total – contramedida = riesgo residual. el resultado es el riesgo residual. esta debe decidir cómo manejarlo. Otro enfoque. lo cual transferirá el riesgo a la compañía de seguros. Muchas compañías aceptan el riesgo cuando la tasa costo/beneficio indica que el costo de la contramedida es mayor al beneficio y a la perdida potencial. siempre habrá un riesgo residual. Debido a que ninguna compañía puede eliminar todas las amenazas. Aceptar el riesgo. rechazarlo. El riesgo puede ser tratado de cuatro formas básicas: Transferirlo. significa que la compañía entiende el nivel de riesgo que encara. La implementación de las contramedidas. esto es conocido como evitar el riesgo. y decide vivir con el riesgo y no implementar alguna contramedida. lo cual resulta en el riesgo total. Si la compañía decide terminar con la actividad que introduce el riesgo. es la mitigación del riesgo. Manejo del riesgo: Una vez que la compañía conoce el riesgo total y residual. así como el costo del potencial daño. están disponibles para que las compañías protejan sus activos. Si una compañía decide que el riesgo total o residual es muy alto para arriesgarse con este. es una forma de mitigar los riesgos. puede adquirir un seguro. Una vez la diferencia del control (protección del control no suministrada) sea ubicada. es multiplicada por el valor del activo que está siendo evaluado. reducirlo o aceptarlo. donde el riesgo es disminuido a un nivel considerablemente aceptable suficiente para continuar con el negocio. las amenazas y vulnerabilidades son identificadas. La pregunta es qué nivel de riesgo está dispuesta la compañía a aceptar. Vulnerabilidad.Amenaza. . La posibilidad de que una vulnerabilidad sea explotada. Muchos tipos de seguro. Durante una evaluación de riesgos.

Tomado de: CISSP All in One – Exam Guide – Fouth Edition Official (ISC)2 Guide to the CISSP CBK .