Gestión de riesgos de la información

Sección uno: descripción general

inició de dominio

Declaraciones de tareas y conocimientos

Recursos sugeridos para estudio adicional

Preguntas de autoevaluación

Respuestas a las preguntas de autoevaluación

Sección dos: contenido

2.0 Introducción

2.1 Descripción general de la gestión de riesgos

2.1.1 La importancia de la gestión de riesgos

2.1.2 Resultados de la gestión de riesgos

2.2 Estrategia de gestión de riesgos

2.2.1 Comunicación de Riesgos, Conciencia de Riesgos y Consultoría

2.2.2 Conciencia del riesgo

2.3 Gestión eficaz de los riesgos de la información

2.3.1 Desarrollo de un programa de gestión de riesgos

 Establecer contexto y propósito

 Definir alcance y estatuto
 Definir autoridad, estructura y presentación de informes
 Garantizar la identificación, clasificación y propiedad de los activos
 Determinar objetivos
 Determinar Metodologías
 Designar equipo de desarrollo del programa

2.3.2 Funciones y responsabilidades

2.4 Conceptos de gestión de riesgos de la información

2.4.1 Conceptos

2.4.2 Tecnologías

2.5 Implementación de la gestión de riesgos

2.5.1 El proceso de gestión de riesgos

2.5.2 Definición de un marco de gestión de riesgos

2.5.3 Definición del entorno externo

2.5.4 Definición del Ambiente interno

2.5.5 Determinación del contexto de gestión de riesgos

2.5.6 Análisis de brechas

2.5.7 Otro apoyo organizativo

2.6 Metodologías de análisis y evaluación de riesgos

2.7 Evaluación de riesgos

2.7.1 Identificación y valoración de activos de información

2.7.2 Estrategias de valoración de activos de información

2.7.3 Metodologías de valoración de activos de información

2.7.4 Evaluación de riesgos y enfoques de gestión

2.7.5 Metodología de evaluación de riesgos de Níst

2.7.6 Pasos del proceso ISO/IEC

2.7.7 Riesgo agregado y en cascada

2.7.8 Otros enfoques de evaluación de riesgos

 Análisis Factorial de Riesgo de la Información

 Evaluación probabilística de riesgos

2.7.9 Identificación del Riesgo

2.7.10 Amenazas

 Amenazas Internas
 Amenazas externas
 Amenaza Persistente Avanzada
 Amenazas emergentes

2.7.11 Vulnerabilidades

2.7.12 Riesgo, Probabilidad e Impacto

2.7.14 Análisis de Riesgo

 Análisis cualitativo
 Análisis semicuantitativo
 Análisis cuantitativo
 Expectativa de pérdida anual
 Valor en riesgo
 Evaluación de Vulnerabilidad y Activos de Amenazas Críticas Operacionales” (OCTAVE““)
 Otros métodos de análisis de riesgos

2.7.15 Evaluación del Riesgo

2.7.16 Clasificación de riesgo

2.7.17 Propiedad del riesgo y responsabilidad

2.7.18 Opciones de tratamiento de riesgos (respuesta)

 Terminar la actividad
 Transferir el Riesgo
 Mitigar el riesgo
 Acepta el riesgo
 Marco de aceptación de riesgos

2.7.19 Riesgo Residual

2.7.20 Impacto
2.7.21 Controles

2.7.22 Requisitos legales y reglamentarios

2.7.23 Costos y Beneficios

2.7.24 Eventos que Afectan Bases de Seguridad

2.8 Clasificación de activos de información

2.8.1 Métodos para determinar la criticidad de los activos y el impacto de los eventos adversos

2.8.2 Análisis y evaluación de impacto

2.9 Gestión del riesgo operacional

2.9.1 Objetivos de tiempo de recuperación

2.9.2 RTO y su relación con la planificación de la continuidad del negocio y los objetivos y procesos de planificación
de contingencia.

2.9.3 Objetivos del punto de recuperación

2.9.4 Objetivos de prestación de servicios

2.9.5 Interrupción máxima tolerable

2.9.6 Ventana de Interrupción Permitida

2.10 Proveedores de servicios de terceros

2.10.1 Desafíos de la subcontratación

2.11 Integración de la gestión de riesgos con los procesos del ciclo de vida

2.11.1 Gestión de riesgos para el ciclo de vida de desarrollo de sistemas de TI

2.11.2 Principios y prácticas de gestión de riesgos basados en el ciclo de vida

2.12 Bases de control de seguridad

2.13 Monitoreo y comunicación de riesgos

2.13.1 Seguimiento de riesgos

2.13.2 Indicadores clave de riesgo

2.13.3 Informe de cambios significativos en el riesgo.

2.14 Capacitación y concienciación

2.15 Documentación

2.16 Estudio de caso

Capítulo 2 Clave de respuestas

INTRODUCCION

El riesgo se puede definir como la combinación de la probabilidad (o probabilidad) de un evento y sus

consecuencias. La probabilidad de un evento es la probabilidad de que una amenaza determinada explote una
vulnerabilidad expuesta. si no hay consecuencias o impacto, se considera que no hay riesgo. Por el contrario, cuanto
mayores sean las consecuencias o el impacto, mayor será el riesgo.
La exposición, o el grado en que una vulnerabilidad está expuesta, a una amenaza también influye en la ecuación de
riesgo, ya que el grado de exposición afecta la probabilidad de compromiso La exposición también se conoce como
superficie de ataque. se ve afectado por el alcance y la eficacia de los controles.

La clasificación de los activos de acuerdo con su valor de negocio es una parte fundamental de la gestión del riesgo,
porque a mayor valor, mayor impacto potencial y, por tanto, mayor riesgo. El valor comercial es una combinación de
criticidad para las operaciones y / o sensibilidad

Las organizaciones operan bajo una gran cantidad de requisitos legales y regulatorios que varían considerablemente
entre jurisdicciones. Además de los requisitos externos, el gerente de seguridad de la información debe conocer las
políticas, los estándares y los procedimientos internos. Desde una perspectiva de riesgo, también se deben
identificar una serie de restricciones no explícitas, incluida la cultura local y organizacional y las percepciones de
comportamiento ético que, a menos que se aborden de manera efectiva, pueden resultar en un daño significativo a
la reputación y la pérdida de la confianza del público y del cliente.

Un proceso estructurado y coherente para la evaluación de riesgos es esencial si se quiere gestionar con éxito.

Deben evaluarse las debilidades técnicas y físicas, así como la exposición de las vulnerabilidades a amenazas viables.
También se debe considerar hasta qué punto el riesgo identificado es mitigado por los controles existentes.

Una vez que se ha identificado, analizado y evaluado un riesgo para determinar si cumple con los criterios de
aceptabilidad. Deben analizarse las opciones de tratamiento (o respuesta). Las opciones disponibles incluyen aceptar
el riesgo, transferir el riesgo, detener la actividad que crea el riesgo (evitarlo) o mitigar el riesgo. se debe determinar
el riesgo de control de las posibles opciones de reducción de riesgos (es decir, el riesgo de que el control falle o sea
inadecuado).

La efectividad del control generalmente cambia con el tiempo a medida que cambia el riesgo. Como consecuencia,
es esencial probar y evaluar periódicamente si los controles existentes continúan siendo efectivos y aún cumplen con
los objetivos de control.

Todas las actividades de la organización crean algún grado de riesgo. Es esencial que una actividad continua de
seguridad de la información comprenda y analice los procesos de la organización para determinar cuáles
representan un riesgo significativo para la seguridad de la información. Esto se aplica a las actividades físicas y de
procedimiento, así como a los procesos de TI. Debido a que la remediación es generalmente responsabilidad de las
unidades de negocios individuales, el gerente de seguridad de la información generalmente desempeña un papel de
investigación, monitoreo y facilitación.

El panorama del riesgo cambia constantemente con nuevas amenazas, nuevas regulaciones, nuevas modalidades de
ataque y vulnerabilidades en evolución. El gerente de seguridad de la información monitorea la situación cambiante
para evitar poner a la organización en mayor riesgo. Las fuentes públicas de información sobre amenazas externas
deben revisarse de manera constante. Los cambios internos también deben ser monitoreados de manera continua;
algunos se pueden rastrear a través del proceso de control de cambios, pero otros aspectos deben ser monitoreados
por métricas, informes, auditorías u observación directa.

También es fundamental evaluar el riesgo de forma regular o basada en eventos, como alterar cualquier incidente o
evento de seguridad. Cualquier compromiso exitoso es el resultado de una falta de controles adecuados o una falla
de control, lo que indica que el riesgo no se evaluó con precisión y debe reevaluarse.

Las decisiones de gestión generalmente toman en consideración el riesgo y, como consecuencia, el gerente de
seguridad de la información debe responder a los cambios en el riesgo para informar adecuadamente el proceso de
toma de decisiones. Para muchas organizaciones sujetas a supervisión regulatoria, la falta o el cumplimiento
inadecuado pueden representar un riesgo significativo. Es importante que el gerente de seguridad de la información
evalúe el riesgo asociado con el cumplimiento normativo al mantenerse al día con las acciones de cumplimiento
normativo relevantes y las sanciones resultantes.

2. 1 DESCRIPCIÓN GENERAL DE LA GESTIÓN DE RIESGOS

La gestión de riesgos es un proceso destinado a lograr un equilibrio óptimo entre aprovechar las oportunidades de
ganancia y minimizar las vulnerabilidades y las pérdidas. Por lo general, esto se logra asegurándose de que el
impacto de las amenazas que explotan las vulnerabilidades esté dentro de los límites aceptables a un costo
aceptable.

En términos comerciales prácticos, la gestión de riesgos significa que el riesgo se administra de manera que no
afecte materialmente el proceso comercial de manera adversa y se proporcione un nivel aceptable de seguridad y
previsibilidad para los resultados deseados de cualquier actividad organizacional importante.

La base para una gestión de riesgos eficaz es una evaluación de riesgos integral, basada en un conocimiento sólido
del universo de riesgos de la organización. No es posible diseñar un programa de gestión de riesgos relevante si no
se comprende la naturaleza y el alcance del riesgo para los recursos de información y el impacto potencial en las
actividades de la organización.

La estructura de la función de riesgo de una organización puede estar centralizada o descentralizada.

Las organizaciones maduras generalmente gestionan el riesgo a través de un grupo o departamento de gestión de
riesgos empresariales (ERM) para garantizar la coherencia, En otros, el riesgo se gestiona de manera descentralizada
en varios departamentos y unidades operativas diferentes, lo que requiere esfuerzos para garantizar la continuidad e
integración de las actividades de gestión de riesgos.

Gestión de riesgos, el desarrollo de un BIA. La creación de un inventario de activos de información y el análisis de

riesgos son requisitos previos fundamentales para desarrollar una estrategia de seguridad significativa

Los controles están diseñados como parte del marco de gestión de riesgos de la información, que incorpora políticas,
estándares, procedimientos, prácticas y estructuras organizativas. Está diseñado para proporcionar una seguridad
razonable de que se logran los objetivos comerciales y de que se evitan o detectan y abordan eventos no deseados.
El marco debe abordar las personas, los procesos y la tecnología y abarca los aspectos físicos, técnicos, contractuales
y de procedimiento de la organización. Debe tomar en consideración los componentes estratégicos, tácticos,
administrativos y operativos de la organización para ser eficaz.

Las contramedidas incluyen cualquier proceso que sirva para contrarrestar amenazas específicas y pueda
considerarse un control dirigido. Pueden ir desde modificar la arquitectura o reiniciar los procesos, hasta reducir o
eliminar las amenazas internas a las vulnerabilidades técnicas, hasta crear un programa de concientización para que
todos los empleados apunten a la ingeniería social y promuevan el reconocimiento temprano y la notificación de
incidentes de seguridad.

El gerente de seguridad de la información también debe comprender que la gestión de riesgos debe operar en
múltiples niveles, incluidos los niveles estratégico, administrativo y operativo.

La evaluación general del riesgo incluye tres fases distintas:

 Identificación de riesgo:

En la identificación de riesgos, se desarrolla un conjunto de escenarios de riesgo y posibles resultados basados

en una evaluación exhaustiva del panorama de amenazas y una evaluación de la vulnerabilidad.

 Análisis de riesgo:

El análisis de riesgo consiste en un análisis exhaustivo del riesgo identificado utilizando varias técnicas y
realizando BIAS en toda la empresa para desarrollar una comprensión clara de los impactos potenciales.

 Evaluación de riesgo:

La evaluación de riesgos utiliza los resultados del análisis para determinar si el riesgo se encuentra dentro del
rango aceptable o debe mitigarse.

El siguiente paso es la respuesta al riesgo, que puede consistir en mitigación, aceptación, evitación o transferencia
del riesgo.
2.1.1 LA IMPORTANCIA DE LA GESTIÓN DE RIESGOS

La seguridad de la información proporciona un nivel de garantía para las actividades comerciales al administrar el
riesgo a niveles aceptables y apropiados para la misión de la empresa u organización. Sin identificar y
posteriormente analizar el espectro de riesgo para una determinada actividad comercial, no es posible determinar el
costo o impacto potencial de un evento en particular y, en consecuencia, cómo determinar las medidas de
mitigación adecuadas.

La eficacia de la gestión de riesgos depende del grado en que sea parte de la cultura de una organización y del grado
en que la gestión de riesgos se convierta en responsabilidad de todos.

El diseño e implementación del proceso de gestión de riesgos en la organización estará influenciado por la
organización:

 Cultura (aversión al riesgo o agresiva)

 Misión y objetivos
 Estructura organizativa
 Capacidad para absorber pérdidas
 Productos y servicios
 Procesos de gestión y operación
 Prácticas organizativas específicas
 Condiciones físicas, ambientales y regulatorias

2.1.2 RESULTADOS DE LA GESTIÓN DE RIESGOS

La gestión de riesgos eficaz sirve para reducir la incidencia de impactos adversos significativos en una organización al
abordar las amenazas, mitigar la exposición y / o reducir la vulnerabilidad o el impacto. En la medida en que esto se
logre, la gestión de riesgos proporciona un nivel de previsibilidad que respalda la capacidad de la organización para
operar de manera eficaz y rentable.

2.2 ESTRATEGIA DE GESTIÓN DE RIESGOS

Una estrategia de gestión de riesgos es el plan para lograr los objetivos de gestión de riesgos. En última instancia,
esos objetivos son lograr un nivel aceptable de riesgo en toda la empresa que resulte en un nivel aceptable de
interrupción de las actividades de la organización.

El nivel de riesgo aceptable es una decisión de gestión que generalmente se basa en una variedad de factores que
incluyen:

 La capacidad de la organización para absorber pérdidas

 Apetito por el riesgo de la dirección
 Costos para alcanzar niveles de riesgo aceptables
 Relaciones riesgo-beneficio

El riesgo aceptable determina los objetivos de control, que se convierten en los principales objetivos de la estrategia.

Para ser eficaz y garantizar una gestión coherente del riesgo en toda la empresa, es esencial que la estrategia de
riesgo de la información se integre con las otras actividades de gestión del riesgo en la organización. Esto es para
evitar brechas en la protección y la duplicación de esfuerzos y garantizará que las diversas actividades de gestión de
riesgos no funcionen con propósitos cruzados.

La estrategia de riesgo de la información también debe ser coherente e integrada en la estrategia general de
gobierno de la seguridad. La estrategia de seguridad de la información debe basarse en los objetivos generales y la
estrategia comercial de la organización.

2.2.1 COMUNICACIÓN DE RIESGOS, CONOCIMIENTO DE RIESGOS Y CONSULTORÍA

Para que la gestión de riesgos se convierta en parte de la cultura de la organización, es necesario comunicar y crear
conciencia sobre los problemas en toda la organización en cada paso del proceso de gestión de riesgos.

La comunicación debe involucrar a todas las partes interesadas y centrarse en la consulta y el desarrollo de un
entendimiento común de los objetivos y requisitos del programa. Esto permite identificar y abordar de manera más
eficaz las variaciones en las necesidades y percepciones.

2.2.2 CONOCIMIENTO DEL RIESGO

La conciencia es una herramienta poderosa para crear la cultura, dar forma a la ética e influir en el comportamiento
de los miembros de una organización. El programa de concientización sobre riesgos y seguridad debe incluir la
comunicación de información sobre riesgos y seguridad, pruebas periódicas como métrica de concientización y un
canal para que el personal informe los problemas de seguridad y riesgo. El personal y los equipos operativos de una
organización suelen ser los primeros en darse cuenta de cualquier problema o actividad anormal.

La conciencia del riesgo reconoce que el riesgo es una parte integral del negocio. Esto no implica que se deba evitar
o eliminar todo riesgo, sino que:

 El riesgo es bien conocido y entendido.

 Los problemas de riesgo de información son identificables.
 Los empleados reconocen que el riesgo organizacional puede afectarlos personalmente.
 La empresa reconoce y utiliza los medios para gestionar el riesgo.

Un programa de concientización debe adaptarse a las necesidades de los grupos individuales dentro de una
organización y ofrecer contenido adecuado para ese grupo. El programa no debe revelar vulnerabilidades o
investigaciones en curso, excepto cuando el problema ya se haya abordado. El uso de ejemplos y descripciones de
los tipos de ataques y compromisos que han experimentado otras organizaciones puede reforzar la necesidad de
diligencia y precaución al abordar el riesgo.

La capacidad del gerente de seguridad de la información para desarrollar programas de concientización y

capacitación que sean efectivos en el medio ambiente depende de su comprensión de la estructura y cultura de la
organización, así como de los tipos de comunicación más efectivos.

El gerente de seguridad de la información debe utilizar un enfoque estandarizado, como pruebas breves en
computadora o en papel, para medir los niveles de conciencia.

Un programa de concientización para la administración debe resaltar la necesidad de que la administración

desempeñe un papel de supervisión en la protección de sistemas y aplicaciones contra ataques. Los gerentes tienen
la responsabilidad de supervisar las acciones de su personal y el cumplimiento directo de las políticas,
procedimientos y prácticas de la organización.

La formación de concienciación para la alta dirección debe destacar la responsabilidad, la necesidad de

cumplimiento, el debido cuidado y la debida diligencia, y la necesidad de crear el tono y la cultura de la organización
a través de políticas y buenas prácticas. Es posible que sea necesario recordar a los altos directivos que son ellos los
que asumen el riesgo y la responsabilidad de determinar los niveles de aceptación del riesgo.

2.3 GESTIÓN EFECTIVA DEL RIESGO DE INFORMACIÓN

Las actividades efectivas de gestión de riesgos de la información deben contar con el apoyo continuo de todos los
miembros de la organización. El riesgo identificado debe tener un propietario y una responsabilidad clara para
garantizar una gestión adecuada del riesgo.

El apoyo, la propiedad y la responsabilidad de la alta dirección dan credibilidad a los esfuerzos de gestión de riesgos.
Incluso los controles mejor diseñados e implementados no funcionarán según lo previsto si las operaciones las
realiza personal descuidado, indiferente o no capacitado. Para lograr los objetivos del programa, se requiere una
cultura organizacional que incluya prácticas sólidas de seguridad de la información junto con el compromiso de la
alta dirección con una gestión de riesgos eficaz.
El gerente de seguridad de la información también debe considerar el desarrollo de enfoques para lograr un nivel de
integración con las numerosas actividades de gestión de riesgos de otras partes de la organización.

2.3.1 DESARROLLO DE UN PROGRAMA DE GESTIÓN DE RIESGOS

Los pasos iniciales para desarrollar un programa de gestión de riesgos incluyen establecer:

 Contexto y propósito del programa

 Alcance y estatuto
 Relaciones de autoridad, estructura y presentación de informes
 Identificación, clasificación y propiedad de activos
 Objetivos de gestión de riesgos
 La metodología que utilizar
 El equipo de implementación

Establecer contexto y propósito

Un requisito principal es determinar el propósito de la organización para crear un programa de gestión de riesgos de
la información, identificar los resultados deseados y definir los objetivos.

Establecer el contexto de la gestión de riesgos implica definir el entorno interno y externo; estructura organizativa y
líneas de autoridad; el proceso, proyecto o actividad; alcance; y metas y objetivos.

Determinar el apetito y la tolerancia al riesgo de la organización es un elemento esencial de la gestión de riesgos.

El apetito por el riesgo es lo que la dirección considera un nivel de riesgo aceptable

la tolerancia al riesgo es el nivel aceptable de desviación del nivel de riesgo aceptable.

Definir alcance y estatuto

Debido a que todos los departamentos y unidades operativas de la organización tienen algún nivel de
responsabilidad en la gestión del riesgo, es importante definir con mayor claridad el alcance de la responsabilidad y
la autoridad que recae específicamente en el gerente de seguridad de la información y otras partes interesadas. Esto
ayuda a prevenir brechas en el proceso, mejora la consistencia general o los esfuerzos de gestión de riesgos y reduce
la duplicación innecesaria de esfuerzos.

Debido a que la mayoría de las actividades de seguridad de la información están relacionadas de alguna manera con
la gestión de riesgos, este ejercicio debe correlacionarse estrechamente con las responsabilidades laborales del
gerente de seguridad.

Definir autoridad, estructura y presentación de informes

La autoridad para tomar ciertas acciones y tomar decisiones debe estar claramente definida. Muchos incidentes han
tenido consecuencias innecesariamente graves como resultado de la falta de claridad sobre quién tiene la autoridad
para tomar decisiones y tomar ciertas acciones.

La falta de una gobernanza e integración claras de las actividades de gestión de riesgos a menudo resulta en
consecuencias nefastas, y el gerente de seguridad de la información debe abordar estos problemas evaluando y
presentando el riesgo y haciendo recomendaciones a la alta gerencia.

Garantizar la identificación, clasificación y propiedad de activos

Para delimitar y priorizar adecuadamente los esfuerzos de gestión de riesgos, debe existir una información completa
y precisa sobre el registro de activos. Aunque puede ser una tarea abrumadora, es necesario ubicar todas las
instancias de activos de información como parte del proceso de identificación de activos.

Además. Los activos de información deben clasificarse en términos de valor comercial o sensibilidad y criticidad para
la organización.
También es esencial asegurarse de que todos los activos de información tengan un propietario identificado con
responsabilidades específicas para administrar el riesgo de esos activos. Esto ayudará a promover la responsabilidad
por el cumplimiento de las políticas y los requisitos de gestión de riesgos en toda la organización. Deben existir
políticas que exijan la propiedad de los activos y los riesgos, así como los procesos establecidos para asignar la
propiedad a medida que se adquieren, transfieren o crean los activos.

Determinar objetivos

Son esenciales objetivos y prioridades claros para el programa de gestión de riesgos de la información. Si bien los
objetivos finales, o el estado deseado, pueden ser gestionar todos los riesgos a niveles aceptables, incluso si eso
fuera posible, las limitaciones de tiempo y recursos harán que sea poco probable que ocurra al mismo tiempo. Como
resultado, será necesario establecer prioridades para el programa y priorizar el riesgo en consecuencia. En otras
palabras, algunos tipos de riesgo no pueden abordarse y deben aceptarse, algunos pueden esperar y algunos deben
abordarse de inmediato. Por supuesto, antes de que se pueda priorizar el riesgo, debe identificarse, y su
probabilidad e impacto deben determinarse mediante análisis de riesgo y evaluación de impacto. Luego, se pueden
establecer prioridades, comenzando con los tipos de riesgo que se determina que tienen una alta probabilidad de
materializarse, así como un alto impacto, y avanzando desde allí.

Determinar metodologías

Se utilizan muchos enfoques para evaluar, analizar y mitigar el riesgo. En muchas organizaciones, se deben utilizar
enfoques estándar si son adecuados para el propósito. Si estas prácticas no se han establecido o son inadecuadas, el
gerente de seguridad de la información debe evaluar las opciones disponibles y buscar implementar aquellas que
sean las mejores para la organización.

Designar equipo de desarrollo del programa

Una vez que se define el alcance de las actividades de gestión de riesgos de la información y se aclaran los objetivos,
el siguiente paso es designar a una persona o equipo responsable de desarrollar e implementar el programa de
gestión de riesgos de la información. Si bien el equipo es el principal responsable del plan de gestión de riesgos, un
programa exitoso requiere la integración de la gestión de riesgos en todos los niveles de la organización. Es de
primordial importancia es la necesidad de que el programa de gestión de riesgos esté correctamente alineado con la
estrategia y la dirección del negocio. Por esta razón, es vital que la participación incluya representantes de todas las
unidades de negocio clave.

2.3.2 FUNCIONES Y RESPONSABILIDADES

Con respecto a la gestión de riesgos, el gerente de seguridad de la información suele ser responsable de desarrollar,
colaborar y gestionar el programa de gestión de riesgos de la información para lograr un nivel aceptable de riesgo
mediante el cumplimiento de los objetivos de control. El costo de lograr estos objetivos siempre es una
consideración, y el gerente de seguridad de la información debe esforzarse por encontrar las soluciones más
rentables. El gerente de seguridad de la información también debe asumir la responsabilidad de trabajar con otros
equipos de gestión de riesgos y actividades de aseguramiento en la organización para promover la integración de
actividades y proporcionar un nivel eficaz y coordinado de aseguramiento de procesos de negocio.

2.4 CONCEPTOS DE GESTIÓN DE RIESGOS DE LA INFORMACIÓN

El gerente de seguridad de la información debe tener un amplio conocimiento de una serie de conceptos
fundamentales para la seguridad y la gestión de riesgos, incluidos los elementos técnicos, estratégicos, tácticos,
administrativos y operativos. Algunos de los conceptos principales se analizan en la siguiente sección.

2.4.1 CONCEPTOS

El gerente de seguridad de la información debe estar familiarizado con una serie de conceptos y su uso en el
contexto de la gestión de riesgos. Algunos de los conceptos principales incluyen:

 Ventana de interrupción aceptable (Acceptable interruption window) (AIW)

 Análisis de impacto empresarial (Business irnpact analysis) (BIA)
  Controles
 Contramedidas
 Criticidad
 Exposición
 Frecuencia
 Impactos
 Clasificación de activos de información
 Indicadores clave de riesgo (Key risk indicators) (KRIS)
 Interrupción máxima tolerable (Maxirnurn tolerable outage) (MTO)
 Proximidad
 Objetivos de tiempo de recuperación (Recovery time objectives) (RTO)
 Objetivos de punto de recuperación (Recovery point objectives) (RPO)
 Redundancia
 Valoración de recursos
 Riesgo
 Análisis de riesgo
 Apetito por el riesgo
 Evaluación de riesgos
 Identificación de riesgo
 Riesgo métricas / tendencias
 Informes de riesgos
 Tolerancia al riesgo
 Tratamiento y respuesta al riesgo
 Sensibilidad
 Objetivos de prestación de servicios (Service delivery objectives) (SDO)
 Amenazas
 Velocidad
 Volatilidad
 Vulnerabilidades

Otros aspectos de la gestión de riesgos relacionados con la seguridad de la información que deben entenderse
incluyen:

 Continuidad empresarial / recuperación ante desastres

 Reingeniería de procesos de negocio
 Arquitecturas empresariales y de seguridad
 Gobernanza de seguridad de la información y TI
 Políticas, estándares y procedimientos
 Plazos y complejidad de la gestión de proyectos
 Acuerdos de nivel de servicio (SLA)
 Robustez y resiliencia del sistema
 Gestión del ciclo de vida de los sistemas

2.4.2 TECNOLOGÍAS

También hay una variedad de tecnologías de seguridad de la información y conceptos técnicos que son importantes
para que el gerente de seguridad de la información los comprenda a fondo su relación con la gestión de riesgos.
Algunos de estos incluyen:

 Dispositivos antispam
 Antivirus / malware, incluido spyware / adware
 Medidas de seguridad de la aplicación
 Servicios en la nube, implementación y riesgo
 Cifrado e infraestructura de clave pública (Encryption and public key infrastructure) (PKI)
  Controles ambientales
 Detección / prevención de intrusiones
 Controles de acceso lógico
 Controles de acceso a la red
 Protocolos de red e Internet
 Medidas de seguridad física
 Seguridad de la plataforma
 Enrutadores, cortafuegos y otros componentes de red (cg, puentes, puertas de enlace)
 Protocolo de telecomunicaciones y voz sobre Internet (VoIP)
 Protocolos y seguridad inalámbrica
 Virtualización

Además. Si bien la seguridad del personal y las instalaciones puede no ser parte de un programa de gestión de
riesgos, estas son áreas de riesgo que deben considerarse como parte de la gestión de riesgos. El gerente de
seguridad de la información debe conocer y tener en cuenta los problemas del personal y los controles de seguridad
del personal, así como los controles ambientales y de las instalaciones como parte de las actividades de evaluación y
gestión de riesgos.

2.5 IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGOS

Como parte de la planificación de un programa de gestión de riesgos, el gerente de seguridad de la información debe
identificar todas las demás actividades de gestión de riesgos de la organización y buscar integrar estas funciones o
aprovechar las actividades dentro del contexto del programa de seguridad de la información. También evita la
duplicación de esfuerzos y minimiza las brechas en las funciones de garantía que pueden afectar negativamente las
actividades de protección de la información, así como otras áreas de riesgo operativo y comercial.

2.5.1 EL PROCESO DE GESTIÓN DE RIESGOS

La gestión de riesgos consta de una serie de protocolos que tienen en cuenta los requisitos de principio a fin de
identificar, analizar, evaluar y mantener el riesgo en niveles aceptables, seleccionando las opciones de prevención y
control adecuadas que tengan costos e impactos aceptables en la capacidad de la organización para operar de
manera eficiente.

La gestión de riesgos suele constar de los siguientes procesos:

 Establecer alcance y límites: proceso para el establecimiento de parámetros globales para el desempeño de la
gestión de riesgos dentro de una organización. Deben tenerse en cuenta tanto factores internos como externos
para proporcionar contexto.
 Identificar activos de información y valoración: un inventario de activos de información y un proceso de
valoración para determinar los activos en riesgo y los posibles impactos del compromiso.
 Realizar una evaluación de riesgos: un proceso que consiste en la identificación, el análisis y la evaluación de
riesgos, que incluye:
1. Identificar amenazas, vulnerabilidades y exposiciones viables
2. Analizar el nivel de riesgo y el impacto potencial.
3. Evaluar si el riesgo cumple con los criterios de aceptación.
 Determinar el tratamiento o la respuesta al riesgo: «Proceso de selección de estrategias para hacer frente al
riesgo identificado que excede el nivel aceptable. Las estrategias de tratamiento de riesgos son evitar, mediante
el cese de actividades riesgosas; mitigar, desarrollando e implementando controles; transferir el riesgo a un
tercero, que puede estar dentro o fuera de la organización; y aceptando. El riesgo generalmente se acepta si no
existe una forma rentable de mitigarlo, hay poca exposición o impacto potencial, o simplemente no es factible
abordarlo de manera efectiva.
 Aceptar el riesgo residual: la decisión y aprobación por parte de la gerencia de aceptar el riesgo restante
después de concluir el proceso de tratamiento, si es necesario (es decir, el riesgo puede aceptarse después de
que la evaluación muestre que está dentro de los límites aceptables o si no hay una opción de tratamiento eficaz
disponible).
 Comunicar y monitorear el riesgo: «Un proceso para intercambiar y compartir información relacionada con el
riesgo, así como para revisar la efectividad de todo el proceso de gestión de riesgos. La comunicación de riesgos
generalmente se realiza entre los tomadores de decisiones y otras partes interesadas dentro y fuera de la
organización. A través de la comunicación y el seguimiento, el alcance, los límites, el riesgo evaluado y los planes
de acción siguen siendo relevantes y actualizados.

los conceptos de evitar, reducir, compartir y aceptar a menudo se refieren a términos diferentes, pero el significado
es similar:

 Terminar la actividad (evitar).

 Reducir el riesgo (mitigar).
 Transferir el riesgo (compartir).
 Conservar el riesgo (aceptar).

El gerente de seguridad de la información debe establecer un proceso formal y regular en el que se realicen
evaluaciones de riesgos a nivel de la organización, el sistema y la aplicación, incluidos los procesos comerciales tanto
lógicos como físicos. Asegurarse de que existan medidas (métricas) para evaluar el riesgo y la eficacia de las medidas
de seguridad es parte de la responsabilidad continua del gerente de seguridad de la información. La eficacia de las
medidas o controles de seguridad debe evaluarse en función de los objetivos de control y / o las líneas de base de
seguridad. El gerente de seguridad de la información también debe explorar y recomendar a los propietarios de
activos técnicas continuas manuales y automatizadas para monitorear el riesgo de la organización.

la eficacia de un programa de seguridad de la información se ve frecuentemente desafiada por cambios

organizacionales, tecnológicos y comerciales / operativos. Estos cambios pueden, en gran medida, ser monitoreados
a través de enlaces a todos los procesos de gestión de cambios en la organización. La gestión de riesgos debe ser un
proceso continuo y dinámico para garantizar que las amenazas y vulnerabilidades cambiantes se aborden de manera
oportuna.

Además, se deben desarrollar procesos para monitorear el estado de los controles de seguridad y las rutas de conteo
para determinar su efectividad continua. Los controles generalmente se degradan con el tiempo y están sujetos a
fallas, lo que exige un monitoreo de control continuo y pruebas periódicas.

2.5.2 DEFINICIÓN DE UN MARCO DE GESTIÓN DE RIESGOS

Para desarrollar un programa de gestión de riesgos sistemático de una organización, se debe utilizar un modelo de
referencia y adaptarlo a las circunstancias de la organización.

sobre tecnologías de la información y enfoques de gestión de riesgos de seguridad. Ejemplos incluyen:

 COBIT 5
 ISO 31000: 2009 Gestión de riesgos: principios y directrices
 IEC 31010: 2009 Gestión de riesgos: técnicas de evaluación de riesgos
 Publicación especial 800-39 del Instituto Nacional de Estándares y Tecnología (NIST) que gestiona el riesgo
de seguridad de la información:
 Vista de organización, misión y sistema de información
 HB 158-2010 Entrega de garantía basada en ISO 31000: 2009 - Gestión de riesgos: principios y directrices
 ISO / IEC 27005: 2011 Tecnología de la información — Técnicas de seguridad — Gestión de riesgos de
seguridad de la información

Los estándares a los que se hace referencia en la lista tienen requisitos de gestión de riesgos similares, que incluyen:

 Política: la alta dirección / liderazgo ejecutivo de una organización debe definir y documentar su política de
gestión de riesgos, incluidos los objetivos y su compromiso con la gestión de riesgos. La política debe ser
relevante para el contexto estratégico de la organización, las metas, los objetivos y la naturaleza de su negocio.
 Planificación y dotación de recursos: deben definirse y documentarse la responsabilidad, la autoridad, la
rendición de cuentas y las interrelaciones del personal que realiza y verdaderamente el trabajo que afecta la
gestión de riesgos.
 Programa de implementación: la organización debe definir los pasos necesarios para implementar un sistema
de gestión de riesgos eficaz.

 Revisión de la dirección: la dirección ejecutiva debe garantizar la revisión periódica del sistema de gestión de
riesgos para asegurar su estabilidad y eficacia continuas para satisfacer los requisitos del programa. Se deben
mantener registros de tales revisiones.
 Proceso de gestión de riesgos: la gestión de riesgos se puede aplicar tanto a niveles estratégicos como tácticos
en la organización, productos / servicios, procesos de negocio / TI, proyectos, decisiones, aplicaciones y
plataformas. La organización debe priorizar el tratamiento de riesgos individuales de acuerdo con los objetivos
comerciales de la organización, el apetito por el riesgo y el entorno regulatorio para la industria dada.
 Documentación de gestión de riesgos: para cada etapa del proceso, se deben mantener registros adecuados
que sean suficientes para satisfacer una auditoría independiente.

Al establecer el marco para la gestión de riesgos, se definen los parámetros básicos dentro de los cuales se debe
gestionar el riesgo, incluidos los criterios para el riesgo aceptable y los objetivos de control.

Para definir un marco eficiente es importante:

 Comprender los antecedentes de la organización y su riesgo (por ejemplo, sus procesos centrales, activos
valiosos, áreas competitivas)
 Evaluar las actividades de gestión de riesgos existentes y los criterios para niveles de riesgo aceptables
 Desarrollar una estructura y un proceso para el desarrollo de iniciativas y controles de gestión de riesgos
suficientes para lograr niveles de riesgo aceptables (objetivos de control).

Este enfoque es útil para:

 Aclarar y obtener un entendimiento común de los objetivos organizacionales.
 Identificar el entorno en el que se establecen estos objetivos
 Especificar el alcance y los objetivos principales para la gestión de riesgos, las restricciones aplicables o las
condiciones específicas y los resultados requeridos.
 Desarrollar un conjunto de criterios con los que se medirá el riesgo.
 Definición de un conjunto de elementos clave para estructurar el proceso de identificación y evaluación de
riesgos.

2.5.3 DEFINICIÓN DEL ENTORNO EXTERNO

La definición del entorno externo incluye especificar el entorno en el que opera la organización. El entorno
externo generalmente incluye:

 El mercado local; el negocio; y los entornos competitivo, financiero y político

 El entorno legal y regulatorio
 Condiciones sociales y culturales
 Interesados externos

También es importante que tanto las percepciones y los valores de las diversas partes interesadas como cualquier
amenaza y / u oportunidad generada externamente se evalúen y se tomen en consideración de manera adecuada.

2.5.4 DEFINICIÓN DEL ENTORNO INTERNO

Las áreas clave que deben evaluarse para proporcionar una visión integral del entorno interno de la organización
incluyen:

 Motores comerciales clave (por ejemplo, indicadores de mercado, avances competitivos, atractivo del producto)
 Las fortalezas, debilidades, oportunidades y amenazas de la organización.
 partes interesadas internacionales
 Estructura organizativa y cultura
 Activos en términos de recursos (es decir, personas, sistemas, procesos, capital)
 Metas y objetivos, y las estrategias ya implementadas para lograrlos.

2.5.5 DETERMINACIÓN DEL CONTEXTO DE GESTIÓN DE RIESGOS

En términos comerciales, el proceso de gestión de riesgos debe proporcionar un equilibrio entre costos y beneficios.
El contexto es el alcance de las actividades de gestión de riesgos y el entorno en el que opera la gestión de riesgos,
incluida la estructura organizativa y la cultura.

Determinar el contexto de la gestión de riesgos implica definir:

 Alcance de la organización y los procesos o actividades a evaluar

 Alcance completo de las actividades de gestión de riesgos.
 funciones y responsabilidades de varias partes de la organización que participan en el proceso de gestión de
riesgos
 Cultura organizacional en términos de aversión al riesgo o agresividad

Los criterios por los que se evaluará el riesgo deben determinarse y acordarse. La decisión sobre la necesidad de un
tratamiento de riesgos suele basarse en criterios operativos, técnicos, financieros, regulatorios, legales, sociales o
medioambientales, o combinaciones de los mismos. Los criterios deben estar en línea con el alcance y el análisis
cualitativo de las políticas y procedimientos internos de la organización y deben respaldar sus metas y objetivos.

Los criterios importantes para considerar son:

 Impacto: los tipos de consecuencias que se considerarán

 Probabilidad: probabilidad de compromiso
 Las reglas que determinarán si el nivel de riesgo es tal que se requieren actividades de tratamiento
adicionales

Es posible que estos criterios deban cambiar durante las fases posteriores del proceso de gestión de riesgos como
resultado de circunstancias cambiantes o como consecuencia del propio proceso de valoración y evaluación de
riesgos.

2.5.6 ANÁLISIS DE GAP

El análisis de brechas en el contexto de la gestión de riesgos se refiere a determinar la brecha entre los controles
existentes y los objetivos de control.

Los objetivos de control deben conducir a controles que logren un riesgo aceptable, que, a su vez, sirva para
establecer la línea de base de seguridad de la información.

Los objetivos de control pueden cambiar como parte de las actividades de gestión de riesgos a medida que cambian
las exposiciones, los objetivos comerciales o las regulaciones, creando potencialmente una brecha entre el control
existente y sus objetivos revisados. El análisis periódico de la brecha entre los controles y sus objetivos debería ser
una práctica estándar. Esto normalmente se logra como parte del proceso de prueba de controles para determinar
su efectividad.

2.5.7 OTRO APOYO ORGANIZATIVO

La industria de la seguridad de la información proporciona muchos servicios de suscripción que un gerente de

seguridad de la información puede integrar en un programa de seguridad de la información

Existen:

 Buenas prácticas publicadas por organizaciones: organizaciones como ISACA, el instituto SANS y el Consorcio
Internacional de Certificación de Seguridad de Sistemas de Información (ISC) pueden ser fuentes valiosas de
datos de comparación con los que evaluar un programa de seguridad de la información.
 Mesas redondas de redes de seguridad: estas organizaciones reúnen a profesionales de seguridad de la
información de industrias similares para discutir temas de interés común. Algunos son gratuitos y están
patrocinados por un proveedor de tecnología de seguridad.
 Organizaciones de noticias de seguridad: varias organizaciones publican noticias diarias o semanales relevantes
para la gestión de riesgos y la seguridad de la información en general (cg, Computer wold, SANS, Tech Target,
CIO Magazine).
 Estudios relacionados con la seguridad: varias organizaciones, incluidas PrieewaterhouseCoopers (PwC), Ernst
and Young (EY), Verizon, Symantec y Ponemon, proporcionan estudios anuales sobre una variedad de asuntos
relacionados con la seguridad.
 Organizaciones de capacitación en seguridad: Estas instituciones brindan clases sobre temas técnicos en
seguridad de la información como análisis de vulnerabilidades y estrategias de configuración de la seguridad de
la plataforma.
 Servicios de alerta de vulnerabilidades: estos servicios permiten a los gerentes de seguridad de la información
mantener una lista de tecnologías en uso en su organización y recibir noticias con respecto a las vulnerabilidades
encontradas en cualquier tecnología de la lista.

2.6 METODOLOGÍAS DE EVALUACIÓN Y ANÁLISIS DE RIESGOS

No existe un único enfoque óptimo para la selección de una metodología para realizar una evaluación de riesgos; sin
embargo, los resultados deben cumplir con las metas y objetivos de la organización al identificar la calificación de
riesgo relativo de los activos y procesos críticos para el negocio. También es fundamental identificar el mayor riesgo
posible. Un enfoque para lograr esto es desarrollar escenarios de riesgo.

La evaluación de riesgos, junto con un BIA o un proceso de clasificación de activos de información para determinar la
criticidad y / o la sensibilidad y el análisis posterior, se utiliza como base para identificar controles o contramedidas
apropiados y rentables para mitigar el riesgo identificado. Cabe señalar que la sensibilidad y / o criticidad a menudo
se declara valor comercial.

La mayoría de los enfoques de evaluación de riesgos tienen tres fases. Cada uno se analiza en detalle en las
secciones siguientes. Éstos incluyen:

 La identificación de riesgos es el proceso de utilizar escenarios de riesgo para determinar el alcance y la

naturaleza del riesgo para la organización.
 El análisis de riesgos es el proceso de combinar la información de vulnerabilidad recopilada durante una
evaluación y la información de amenazas recopilada de otras fuentes para determinar el riesgo de compromiso
tanto en términos de frecuencia como de magnitud potencial. El análisis puede incluir cálculos estadísticos como
VAR, ALE o ROSI para obtener una mayor comprensión de la distribución del riesgo (es decir, el riesgo máximo y
el riesgo probable y las posibles consecuencias [impacto]).
 La evaluación de riesgos es el proceso de comparar los resultados del análisis de riesgos con los criterios
establecidos para la aceptabilidad, el impacto, la probabilidad y la necesidad de un tratamiento adicional. o
ambientales, criterios o combinaciones de criterios. Los criterios deben estar en línea con el alcance y el análisis
cualitativo de las políticas y procedimientos internos de la organización y deben respaldar sus metas y objetivos.

2.7 EVALUACIÓN DE RIESGOS

el primer paso es ubicar e identificar los activos de información y luego determinar la valoración de los activos. Sin
un inventario preciso de activos, es difícil saber qué vulnerabilidades existen que podrían ser explotadas por
amenazas. También es importante determinar el valor comercial relativo de los activos porque el impacto potencial
de la pérdida del activo (consecuencias) es un componente del riesgo determinante, así como la base para la
clasificación.

Suponiendo que un activo tiene un valor significativo, el siguiente paso es determinar qué vulnerabilidades de
pérdida o daño existen. si existen vulnerabilidades, se debe realizar una evaluación de las amenazas viables. Si el
activo tiene valor y vulnerabilidades susceptibles de amenazas viables. entonces existe un riesgo. Para aclarar, es
obvio que las vulnerabilidades para las que no existen amenazas no representan ningún riesgo (aunque la amenaza
es dinámica y puede surgir en cualquier momento). Otra forma de verlo es que cuanto mayor sea el valor y mayor
sea el número y grado de vulnerabilidades junto con un mayor número de amenazas viables, mayor será el riesgo de
pérdida.

2.7.1 IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS DE INFORMACIÓN

El primer paso en la evaluación de riesgos es ubicar e inventariar todos los activos de información y determinar su
valor comercial relativo o aproximado (es decir, criticidad o sensibilidad). Esto es necesario porque el valor comercial
es parte de la determinación del riesgo (es decir, el riesgo existe solo si hay probabilidad de impacto y consecuencias
[riesgo = probabilidad x consecuencias). Además, no es posible determinar la vulnerabilidad y el alcance de la
exposición de activos no identificados. el valor comercial también será necesario para fines de clasificación y para
proporcionar la justificación del nivel de protección requerido.

La organización debe considerar garantizar la revisión y el control sistemáticos de la información para gestionar el
riesgo de responsabilidad potencial creado por la información publicada públicamente.

Las categorías de activos de información típicos a los que se les debe asignar un valor y proteger incluyen, entre
otras:

 Información y procesos de propiedad de todo tipo, incluida la información que puede dañar la organización
 Registros financieros actuales y proyecciones futuras
 Planes de adquisición o fusión
 Planes estratégicos de marketing
 Secretos comerciales
 Información relacionada con patentes
 PII información de identificación personal

2.7.2 ESTRATEGIAS DE VALORACIÓN DE ACTIVOS DE INFORMACIÓN

la valoración eficaz de los recursos se basa mejor en escenarios de pérdidas. La información se puede clasificar y
poner en una matriz con cada escenario de pérdida para hacer que un problema complejo sea más manejable y
comprensible.

La precisión de la valoración no es tan crítica como tener un enfoque para priorizar los esfuerzos. Los valores dentro
del mismo orden de magnitud que la pérdida real (si ocurriera) son suficientes para propósitos de planificación.

2.7.3 METODOLOGÍAS DE VALORACIÓN DE ACTIVOS DE INFORMACIÓN

Las metodologías de valoración cuantitativa son generalmente las más precisas, pero pueden ser bastante complejas
si se han analizado los impactos reales y posteriores.

Otra metodología de valoración es de naturaleza cualitativa, donde se toma una decisión independiente basada en el
conocimiento empresarial, las directivas de la dirección ejecutiva, las perspectivas históricas, los objetivos
empresariales y los factores ambientales. Hay situaciones en las que no se dispone de datos cuantitativos y este
método alternativo es la única opción. Muchos administradores de sistemas de información utilizan una
combinación de técnicas.
El enfoque más sencillo es el valor monetario que representa el precio de compra, el costo de reposición o el valor
contable, si es representativo de la importancia para la organización. Si no es así, se deben considerar otros
enfoques. Si se trata de un activo que genera ingresos de forma directa o indirecta, un valor calculado como el valor
actual neto (NET PRESENT VALUE) (NPV) puede ser un enfoque razonable.

Otro enfoque es considerar el valor agregado u otros valores más intangibles. Por ejemplo, una aplicación y un
servidor de comercio electrónico pueden tener costos de hardware y software de solo US $ 50.000, pero son un
componente esencial para generar millones en ingresos cada mes. En esta situación, el valor puede calcularse en
términos de generación de ingresos o el impacto financiero de cualquier tiempo de inactividad no anticipado.

Los activos intangibles generalmente se componen de propiedad intelectual como secretos comerciales, patentes y
derechos de autor, gestión del conocimiento, reputación de marca, cultura corporativa, lealtad y confianza del
cliente e innovación. Los activos intangibles que pueden resultar difíciles de cuantificar son la reputación de la
organización y la confianza del consumidor. Aunque un incidente de piratería en sí mismo puede no generar
pérdidas directas, los clientes pueden irse debido a la falta de confianza en la organización, especialmente si hay
competidores fuertes. Los auditores pueden representar activos intangibles bajo el título de “fondo de comercio”.

el gerente de seguridad de la información debe estar al tanto de los cambios en curso en la organización y debe
modificar el uso de las metodologías de valoración para satisfacer mejor las necesidades como resultado de estos
cambios. Si los datos cuantitativos están desactualizados y no se pueden actualizar en un período de tiempo
razonable, puede ser conveniente utilizar datos cualitativos en lugar de los datos cuantitativos o para aumentarlos

2.7.4 ENFOQUES DE GESTIÓN Y EVALUACIÓN DE RIESGOS

El gerente de seguridad de la información dispone de numerosos modelos de gestión de riesgos y enfoques de

evaluación. El enfoque seleccionado debe estar determinado por la mejor forma, ajuste y función.

Los enfoques incluyen COBIT, OCTAVE, NISTI 800-39, HB 158-2º1O, ISO / IEC 31000, ITIL y CRAMM. Otros enfoques,
como el análisis de factores de riesgo de información (factor analysis of infonnation risk) (FAIR), el análisis de
factores de riesgo y VAR, pueden Ser más adecuado, en función de la organización y los requisitos específicos.

2.7.5 METODOLOGÍA DE EVALUACIÓN DE RIESGOS DEL NIST

La metodología de evaluación de riesgos comprende nueve pasos principales:

 Paso 1: caracterización del sistema (o dominio general)

 Paso 2: identificación de amenazas
 Paso 3: identificación de vulnerabilidades
 Paso 4: análisis de control
 Paso 5: determinación de los medios de vida
 Paso 6: análisis de impacto
 Paso 7: determinación de riesgos
 Paso 8: recomendaciones de control
 Paso 9: documentación de resultados

Los pasos 2, 3, 4 y 6 se pueden realizar en paralelo después de que se haya completado el paso 1.

2.7.6 PASOS DEL PROCESO ISO / IEC

La Figura 2.8 muestra los pasos del proceso ISO / IEC 27005 para la evaluación de riesgos y su relación con COBIT 5.

2.7.7 RIESGO AGREGADO Y EN CASCADA

Existe riesgo agregado cuando una amenaza particular afecta a un gran número de vulnerabilidades menores que, en
conjunto, pueden tener un impacto significativo. Otra posibilidad es que una gran cantidad de amenazas puedan
afectar simultáneamente a varias vulnerabilidades menores, lo que resulta en un gran riesgo agregado. En esta
situación, es posible que el riesgo que es individualmente aceptable tenga un impacto catastrófico colectivamente.
El riesgo en cascada también puede manifestar impactos inaceptables como resultado de una falla que lleva a una
reacción en cadena de fallas.

2.7.8 OTROS ENFOQUES DE EVALUACIÓN DE RIESGOS

Análisis factorial de riesgo de la información (Factor Analysis of lnformation Risk)

Un enfoque prometedor para descomponer el riesgo y comprender sus componentes es FAIR. El enfoque ofrece un
proceso de análisis detallado y razonado que está diseñado principalmente como un complemento de otros
enfoques de evaluación con el objetivo de aumentar la precisión

FAIR proporciona un marco lógico y razonado para lo siguiente:

 Una taxonomía de los factores que componen el riesgo de información. Esta taxonomía proporciona una
comprensión fundamental del riesgo de información, sin la cual no se podría razonablemente hacer el resto.
también proporciona un conjunto de definiciones estándar para los términos necesarios.
 Un método para medir los factores que impulsan el riesgo de información, incluida la frecuencia, la
vulnerabilidad y la pérdida de eventos de amenaza.
 Un motor computacional que deriva el riesgo simulando matemáticamente las relaciones entre los factores
medidos.
 Un modelo de simulación que permite aplicar la taxonomía, el método de medición y el motor computacional
para construir y analizar escenarios de riesgo de prácticamente cualquier tamaño o complejidad.

Hay cuatro componentes principales de la taxonomía de riesgos para los que se desea identificar las características
de los agentes de amenaza: aquellas características que afectan:

 La frecuencia con la que los agentes de amenazas entran en contacto con una organización o activos.
 La probabilidad de que los agentes de amenazas actúen contra una organización o activos.
 La probabilidad de que las acciones de los agentes de amenazas tengan éxito en la superación de los controles
de protección.
 La naturaleza probable (tipo y gravedad) del impacto en los activos

Evaluación probabilística de riesgos

La evaluación probabilística de riesgos (PRA) ha surgido como una herramienta de análisis cada vez más popular,
especialmente durante la última década. PRA es una metodología sistemática e integral para evaluar el riesgo
asociado con cada aspecto del ciclo de vida de una entidad tecnológica de ingeniería compleja, desde la definición
del concepto hasta el diseño, la construcción y la operación, y hasta la eliminación del servicio.

Básicamente, el enfoque busca responder tres preguntas:

¿Qué puede ir mal?

¿Qué probabilidad hay?

¿Cuáles son las consecuencias?

Las respuestas se basan en una deconstrucción exhaustiva de todos los elementos en riesgo en un conjunto
particular de circunstancias y luego se identifican sistemáticamente. Modelado y cuantificación de escenarios que
pueden conducir a consecuencias adversas basadas en la teoría de probabilidad y estadística, ingeniería de
confiabilidad, teoría de decisiones y otra información. Los elementos que intervienen en la evaluación de posibles
eventos en cadena incluyen fallas de hardware y software, acciones humanas, fallas de control y otras posibles
interacciones que pueden tener consecuencias graves.

2.7.9 IDENTIFICACIÓN DEL RIESGO

La identificación de riesgos es el proceso mediante el cual se determina el tipo y la naturaleza de las amenazas
viables y se examinan las vulnerabilidades de la organización que están sujetas a estas amenazas. Las
vulnerabilidades que pueden ser explotadas por las amenazas identificadas constituyen un riesgo identificado. El
proceso de identificación de riesgos es esencial para una gestión de riesgos eficaz porque solo el riesgo identificado
puede evaluarse y tratarse adecuadamente.

Es necesario identificar todos los activos de información, incluidos los que puedan existir con proveedores de
servicios o subcontratistas, empleados, contratistas. y otros en otros lugares. Deben determinarse las amenazas
viables, tanto reales como potenciales. La viabilidad refleja dos factores: existen o podría esperarse razonablemente
que se materialicen y están sujetos a alguna forma de control.

Las vulnerabilidades adoptan muchas formas. Pueden ser debilidades técnicas comúnmente entendidas, o pueden
existir ocultas en procesos comerciales particulares o procedimientos no monitoreados. La falta de conciencia por
parte del personal también puede crear vulnerabilidades, como la exposición de información a través de
conversaciones en ascensores o restaurantes que podrían escucharse. Los servicios subcontratados son una fuente
de vulnerabilidades que pueden ser difíciles de determinar.

Luego, cada una de las vulnerabilidades identificadas debe evaluarse en términos de medidas viables que podrían
comprometerlas y generar un impacto. Este ejercicio generará una lista de riesgos identificados para un análisis
posterior a fin de determinar la probabilidad y el alcance de los impactos potenciales. Las vulnerabilidades
importantes que no estén sujetas a una amenaza identificada deben agregarse a la lista de análisis, ya que es posible
que una posible amenaza no se haya descubierto o que se desarrolle en el futuro.

Al aplicar los métodos de análisis e identificación de riesgos, el gerente de seguridad de la información debe definir
los requisitos de recursos y establecer un presupuesto y un cronograma para estas importantes tareas.

En general, un riesgo puede estar relacionado o caracterizado por:

 Su origen
 Cierta actividad, evento o incidente (es decir, amenaza}
 Sus consecuencias, resultados o impacto
 Una razón específica para su ocurrencia
 Mecanismos de protección, exposición y controles (junto con una estimación de la eficacia
 Hora y lugar del suceso

Al seleccionar una metodología de identificación de riesgos, se deben considerar las siguientes técnicas:

 Lluvia de ideas en equipo, donde los talleres pueden resultar efectivos para generar compromiso y hacer uso de
diferentes experiencias.
 Técnicas estructuradas como diagrama de flujo, revisión del diseño de sistemas, análisis de sistemas. estudios de
riesgo y operatividad, y modelos operativos
 Análisis hipotético y de escenarios para situaciones menos claramente definidas, como la identificación de
riesgos estratégicos y procesos con una estructura más general
 Amenazas identificadas interna y externamente asignadas a vulnerabilidades identificadas y sospechadas

El desarrollo de escenarios de riesgo se basa en describir un evento de riesgo potencial y documentar los factores y
áreas que pueden verse afectadas por el evento de riesgo. Los eventos de riesgo pueden incluir fallas del sistema,
pérdida de personal clave, robo, cortes de red, fallas de energía, desastres naturales o cualquier otra situación que
pueda afectar las operaciones comerciales y la misión. Cada escenario de riesgo debe estar relacionado con un
objetivo o impacto comercial. La clave para desarrollar escenarios efectivos es enfocarse en eventos de riesgo
potenciales reales y relevantes. Algunos ejemplos son el desarrollo de un escenario de riesgo basado en un cambio
radical en el mercado de los productos de una organización, un cambio de gobierno o liderazgo, o una falla en la
cadena de suministro

2.7.10 AMENAZAS

Se deben evaluar las amenazas a los recursos de información y la probabilidad de que exploten una vulnerabilidad
existente. En este contexto, las amenazas son cualquier circunstancia o evento con el potencial de causar daño a un
recurso de información mediante la explotación de vulnerabilidades en el sistema.
Las amenazas pueden ser externas o internas, intencionales o no intencionales. Pueden ser causados por eventos
naturales o factores políticos, económicos o competitivos. Las amenazas siempre existen y, por lo general, están más
allá del control directo del profesional del riesgo o del propietario del activo.

Las amenazas se pueden dividir en varias categorías, que incluyen:

 Físico
 Eventos naturales
 Pérdida de servicios esenciales
 Perturbación debida a la radiación
 Compromiso de la información
 Fallos técnicos
 Acciones no autorizadas
 Compromiso de funciones

El gerente de seguridad de la información debe documentar todas las amenazas que pueden aplicarse a los sistemas
y procesos comerciales bajo revisión. Esto requiere el uso de los recursos indicados anteriormente, pero también
debe incluir el examen de la causa de fallas pasadas, informes de auditoría, informes de los medios, información de
los equipos nacionales de respuesta a emergencias informáticas (CERT). datos de proveedores de seguridad y
comunicación con grupos internos.

Las amenazas pueden ser el resultado de acciones accidentales, acciones intencionales / deliberadas o eventos
naturales. Las amenazas pueden tener su origen en fuentes internas o externas, y los ataques reales pueden
aprovechar una combinación de fuentes internas y externas. Donde las amenazas pueden ser dirigidas por agentes
individuales. El gerente de seguridad de la información debe saber y ser consciente de que estos agentes tienden a
ser imaginativos, creativos y decididos y explorarán nuevos métodos y vías de ataque. Para contrarrestar a los
agentes de amenazas, el gerente de seguridad de la información también debe ser decidido y creativo y buscar
descubrir tantas amenazas como sea posible. Una amenaza no identificada es aquella para la que es más probable
que la organización no esté preparada y sea vulnerable que una amenaza que está bien documentada.

Las fuentes de información sobre amenazas son:

 Evaluaciones
 Auditorias
 Planes de continuidad empresarial
 Finanzas
 Publicaciones gubernamentales
 Recursos humanos
 Las compañías de seguros
 Gestión
 Medios de comunicación
 Proveedores de productos
 Empresas de seguridad
 Proveedores de servicio
 Agencias de monitoreo de amenazas
 Usuarios

amenazas internas

los empleados pueden estar descontentos si no reciben la capacitación adecuada, se les trata mal o si no se les da el
tiempo suficiente para hacer su trabajo correctamente. La desilusión y el resentimiento pueden conducir a un mayor
riesgo de cometer errores, negligencia y acciones más conscientes como el personal clave puede verse atraído por
otra empresa y dejar serias lagunas en el conocimiento y las habilidades necesarias para operar los sistemas de
manera efectiva.
Los empleados son la causa de una cantidad significativa de impactos comerciales, que pueden ser intencionales y no
intencionales. Un empleado descontento puede comprometer intencionalmente los sistemas o divulgar datos que
exponen a la organización a riesgos legales o de reputación. Los empleados pueden ser convencidos, sobornados o
amenazados de revelar secretos comerciales por razones ideológicas o económicas. Muchos empleados tienen un
nivel de acceso a los sistemas y datos que supera con creces sus requisitos laborales reales, lo que puede
aprovecharse en un ataque. La solución al problema de los empleados, por lo tanto, radica al menos en parte en la
aplicación de la necesidad de saber y el privilegio mínimo, pero esta es una solución imperfecta.

El primer paso para abordar las amenazas al personal es comenzar con el proceso de contratación y revisar las
calificaciones y la actitud de los posibles empleados.

Una revisión de las referencias y la realización de verificaciones de antecedentes pueden valer la pena en la medida
en que lo permita la ley. En el momento de la contratación, se debe solicitar al empleado que firme un acuerdo de
confidencialidad y se le informe sobre la ética y las políticas de la organización.

A lo largo del empleo, se debe recordar a los empleados las políticas de la organización y sus responsabilidades a
través de sesiones de concientización y revisiones periódicas de la gerencia. Uno de los mejores controles basados
en los empleados es interactuar con los empleados para comprender cualquier frustración, queja o problema que
puedan estar enfrentando y luego tratar de resolver esos problemas.

Al final del empleo, un empleado debe devolver todos los activos de la organización, incluidas las tarjetas de
identificación, el equipo (por ejemplo, computadoras portátiles, teléfonos móviles, tarjetas de acceso) y uniformes
para que no pueda usarlos para obtener acceso no autorizado en el futuro. Además, los sistemas, la red y el acceso a
las instalaciones deben eliminarse inmediatamente antes de la partida del empleado para minimizar el potencial de
delitos de oportunidad.

Amenazas externas

En un entorno de red, donde los datos se almacenan fuera del sitio o se alojan en proveedores de servicios en la
nube, las amenazas a los sistemas de información desde fuera de la organización pueden originarse desde cualquier
lugar y pueden adoptar varias formas, entre ellas. pero no limitado a:

 Actos criminales
 Corrupción de datos
 Enfermedad (epidemia)
 Espionaje
 Defectos de la instalación (tubería congelada / rotura de tubería)
 Fuego
 Inundación
 Defectos de hardware
 Accidentes industriales
 Activos perdidos
 Fallas mecánicas
 Sobretensión / falla de la red pública
 Sabotaje
 Actividad sísmica
 Tormentas severas
 Errores de software
 Interrupción de la cadena de suministro
 Terrorismo
 Hurto

Amenaza Persistente Avanzada

El gerente de seguridad de la información debe ser consciente de que las APT representan un riesgo significativo
para las organizaciones de prácticamente todos los tipos a nivel mundial y asegurarse de que se tomen las medidas
adecuadas para detectar e identificar esta amenaza.

APT se define en la publicación NIST 800-39 de la siguiente manera:

Una APT es un adversario que posee niveles sofisticados de experiencia y recursos significativos que le permiten
crear oportunidades para lograr sus objetivos utilizando múltiples vectores de ataque (cg, cibernético; físico y
engaño). Estos objetivos generalmente incluyen establecer y extender puntos de apoyo dentro de la infraestructura
de TI de las organizaciones objetivo para propósitos de exfiltrar información, socavando o impidiendo aspectos
críticos de una misión, programa u organización; o posicionarse para llevar a cabo estos objetivos en el futuro. La
amenaza persistente avanzada: (1’) persigue sus objetivos repetidamente durante un período prolongado de tiempo;
(ii) se adapta a los esfuerzos de los defensores para resistirlo; y (iii) está decidido a mantener el nivel de interacción
necesario para ejecutar sus objetivos.

Los ataques APT típicos generalmente han exhibido el siguiente ciclo de vida:

 Compromiso inicial: los atacantes utilizan ingeniería social y spear phishing a través del correo electrónico,
utilizando virus de día cero. Pueden colocar malware en un sitio web que probablemente visiten los empleados
victimizados.
 Establecer un punto de apoyo: los atacantes pueden instalar soluciones de guerra de administración remota en
la red de la víctima y / o crear puertas traseras y túneles de red que permitan el acceso sigiloso a la
infraestructura de la red.
 Escalar privilegios: APPS usa exploits y descifrado de contraseñas para adquirir privilegios de administrador
sobre la computadora de la víctima y posiblemente expandirlo a cuentas de administrador de dominio.
 Reconocimiento interno: los atacantes recopilan información sobre la infraestructura circundante, las relaciones
de confianza y la estructura de dominio de Windows.
 Moverse lateralmente: amplían el control a otras estaciones de trabajo, servidores y elementos de
infraestructura y realizan la recolección de datos en ellos.
 Mantener la presencia: los APT garantizan un control continuo sobre los canales de acceso y las credenciales
adquiridas en los pasos anteriores.
 Misión completa: los atacantes exfiltran los datos robados de la red de la víctima.

Amenazas emergentes

Los indicios de amenazas emergentes pueden incluir actividad inusual en un sistema, alarmas repetidas, rendimiento
lento del sistema o de la red o actividad nueva o excesiva en los registros. En muchos casos, las organizaciones
comprometidas tienen evidencia de amenazas emergentes en sus registros mucho antes del compromiso real, pero
la evidencia no se nota ni se actúa sobre ella. La falta de una supervisión eficaz, cuando se combina con una
amenaza, puede provocar una infracción.

La mayoría de las tecnologías se construyen con énfasis en la función y el propósito sin la debida consideración por
las implicaciones de seguridad. Como resultado, la nueva tecnología tiende a ser una fuente de nuevas
vulnerabilidades e incluso puede ser un agente de amenaza dentro de un sistema de información. El practicante de
riesgos debe estar alerta al surgimiento de nuevas tecnologías y prepararse para su introducción en la organización,
particularmente si estas tecnologías prometen ahorros de costos o ventajas competitivas.

Traiga su propio dispositivo (BYOD) es un ejemplo de una revolución en la forma en que las organizaciones ven los
activos tecnológicos. Es una oportunidad cuyo riesgo es evidente, pero ha tentado a una amplia variedad de
organizaciones al prometer reducir en gran medida el costo de adquisición inicial de activos de TI y la velocidad a la
que deben actualizarse. Es poco probable que una estrategia de amenazas que enfatice el rechazo de la nueva
tecnología permanezca vigente mucho más allá del punto en el que obtiene el patrocinio ejecutivo.

2.7.11 VULNERABILIDADES
El término "vulnerabilidad", a menudo denominado "debilidad", se utiliza a menudo como si fuera una condición
binaria. Algo "es vulnerable" o "no es vulnerable", También se debe considerar el alcance de la exposición, ya que
afecta la probabilidad de que una vulnerabilidad se vea comprometida.

El propósito de la identificación de vulnerabilidades es encontrar los problemas antes de que un adversario los
detecte y los explote, por lo que una organización debe realizar evaluaciones de vulnerabilidad y pruebas de
penetración con regularidad. para identificar, validar y clasificar sus vulnerabilidades. Una evaluación de
vulnerabilidades debe considerar las debilidades de proceso y procedimiento, así como las lógicas. Donde existen
vulnerabilidades, existe un potencial de riesgo.

Puede ser útil categorizar y considerar las vulnerabilidades en las siguientes categorías porque el enfoque variará
para diferentes áreas, incluidas algunas de las áreas más comunes:

 Vulnerabilidades de la red
 Acceso físico
 Aplicaciones y servicios orientados a la Web
 Utilidades
 Cadena de suministro
 Procesos
 Equipo
 Computación en la nube
 internet de las cosas

Las auditorías, revisiones de seguridad, análisis de vulnerabilidades y pruebas de penetración se encuentran entre
los enfoques que suelen ser útiles para identificar vulnerabilidades. Algunos ejemplos típicos de vulnerabilidades
incluyen:

 Software defectuoso
 Hardware / software configurado incorrectamente
 Aplicación inadecuada del cumplimiento
 Diseño deficiente de la red
 Procesos incontrolados o defectuosos
 Gobierno o gestión inadecuados
 Personal insuficiente
 Falta de conocimiento para apoyar a los usuarios o las operaciones.
 Falta de funcionalidad de seguridad
 Falta de mantenimiento adecuado
 Mala elección de contraseñas
 Transmisión de comunicaciones desprotegidas
 Falta de redundancia
 Comunicaciones de gestión deficientes

2.7.12 RIESGO, PROBABILIDAD E IMPACTO

La evaluación tradicional del riesgo se expresa en la ecuación, amenazas x vulnerabilidades = riesgo. El resultado es
que si hay más amenazas contra mayor o mayor vulnerabilidad, hay más riesgo.

Cada vez más, el concepto de consecuencias se incluye en la ecuación de riesgo, lo que genera amenazas x
vulnerabilidades x consecuencias un riesgo. Esto es consistente con la definición actual de riesgo que es "la
probabilidad de un evento y sus consecuencias". La probabilidad, en este caso, se deriva de la probabilidad de que
una amenaza aproveche una vulnerabilidad. La relevancia está en el hecho de que si no hay consecuencias. el riesgo
no es importante y puede considerarse inexistente. Desde el punto de vista del profesional, se debe considerar que
se utilizan procesos completamente diferentes para determinar la probabilidad de un evento y el impacto o las
consecuencias potenciales.
El likelihood, o probabilidad, es una medida de la frecuencia con la que puede ocurrir un evento. Al identificar el
riesgo, el likelihood se utiliza para calcular el nivel de riesgo en función del número de eventos, combinado con el
impacto que puede ocurrir en un período de tiempo determinado, generalmente un año. El likelihood o frecuencia
combinada con la magnitud (del impacto) se usa para determinar el ALE. A mayor frecuencia, mayor likelihood y, en
consecuencia, mayor riesgo.

La determinación del likelihood requiere la consideración de una variedad de factores que incluyen:

 Volatilidad: la probabilidad de un riesgo puede variar según la volatilidad de la situación. Cuando las condiciones
varían mucho, puede haber momentos en que el riesgo sea mayor que en otros momentos, aumentando la
imprevisibilidad y, por lo tanto, requiriendo una mayor estimación del riesgo.
 Velocidad: en este contexto, la velocidad es una consideración del alcance de la advertencia previa de un evento
y la cantidad de tiempo entre la ocurrencia de un evento y el impacto posterior.
 Proximidad: este es un término que se utiliza para indicar el tiempo entre un evento y el impacto (es decir,
cuanto mayor es la velocidad, más cercana es la proximidad).
 Interdependencia: es importante no considerar el riesgo de forma aislada, sino en el contexto organizacional y
en relación con otros activos y funciones. La materialización de varios tipos de riesgo podría afectar a la
organización de manera diferente dependiendo en parte de si los eventos de riesgo ocurren de manera
simultánea o secuencial.
 Motivación: el grado de motivación de un atacante afectará las posibilidades de éxito. La naturaleza de la
motivación afecta, hasta cierto punto, el tipo de activos en riesgo (es decir, los estados nacionales con
motivaciones políticas normalmente se enfocarán en activos diferentes a los de los delincuentes que buscan
ganancias financieras, lo que afecta el riesgo de activos particulares).
 Habilidad: el nivel de habilidad de los atacantes potenciales normalmente determinará el tipo y el valor de los
activos atacados. (es decir, es probable que los activos de alto valor atraigan a atacantes más capacitados).
 Visibilidad: los objetivos de alta visibilidad tienen más probabilidades de ser atacados.

Cualquiera que sea la definición de riesgo que se utilice, el gerente de seguridad de la información debe comprender
el perfil de riesgo comercial (en el sentido negativo) de la organización en términos de afectar adversamente la
capacidad para lograr sus objetivos.

Una clasificación de riesgo de alto nivel es una parte inherente del negocio y, debido a que es poco práctico y
costoso eliminar todos los riesgos, cada organización tiene un nivel de riesgo que aceptará. El nivel de riesgo
aceptable es una decisión que debe tomar la alta dirección, aunque el director de seguridad de la información puede
necesitar ayudar a la dirección a desarrollar un conjunto concreto de criterios.

El concepto esencial. es que el costo de protección debe ser proporcional al valor del activo y no debe exceder el
valor del activo que se protege. Con la mayoría de las actividades correctivas, hay un punto de rendimientos
decrecientes en el que los costos de los controles adicionales aumentan más rápido que el beneficio que se deriva.

Muchos factores afectarán lo que la organización considera aceptable en última instancia en función de
consideraciones como la cultura, la capacidad de la organización para absorber pérdidas (a veces denominada
capacidad de riesgo), los efectos y costos de la mitigación, el alcance y el tipo de impactos potenciales, y
posiblemente requisitos legales y / o contractuales. En términos de cultura, la organización puede ser generalmente
reacia al riesgo y optar por una seguridad más estricta y costos de control más altos, o la organización puede ser
agresiva al riesgo y optar por correr más riesgos.

2.7.13 REGISTRO DE RIESGOS

Durante el proceso de identificación de riesgos y sus componentes, se debe establecer un registro de riesgos. El
registro debe servir como un depósito central para todos los riesgos de seguridad de la información, incluidas las
amenazas, vulnerabilidades, exposiciones y activos específicos afectados. Debe incluir al propietario del activo, al
propietario del riesgo y a otras partes interesadas.
El contenido del registro de riesgos debe completarse a medida que avanza el proceso de evaluación. Una vez que se
hayan completado los esfuerzos de identificación, análisis, evaluación y respuesta al riesgo y se ingrese otra
información pertinente en el registro, este servirá como un punto de referencia maestro para todas las actividades
relacionadas con la gestión del riesgo.

El registro de riesgos es parte. del perfil de riesgo de una organización. Un perfil de riesgo es un elemento esencial
para la gestión eficaz de riesgos de la información. Servirá para proporcionar una visión general completa del riesgo
general (conocido) al que está expuesta la organización, así como otra información pertinente.

2.7.14 ANÁLISIS DE RIESGO

El análisis de riesgo es la fase en la que se evalúa y comprende el nivel del riesgo identificado y su naturaleza y se
determinan las posibles consecuencias del compromiso. Esta fase también incluye determinar la eficacia de los
controles existentes y la medida en que mitigan el riesgo identificado. El análisis de riesgo implica:

•Examen minucioso de las fuentes de riesgo (amenazas y vulnerabilidades) determinadas en la fase de identificación
de riesgos.

•La medida en que los activos de información están expuestos a amenazas potenciales y el efecto sobre la
probabilidad

•Las posibles consecuencias negativas (impacto) si los activos son atacados con éxito

•La probabilidad de que ocurran esas consecuencias y los factores que las afectan

•Evaluación de cualquier control o proceso existente que tiende a minimizar el riesgo negativo o mejorar los
resultados positivos (estos controles pueden derivar de un conjunto más amplio de estándares, controles o buenas
prácticas seleccionados de acuerdo con una declaración de aplicabilidad [es decir, la aplicación de los controles
identificados en el registro de riesgos] y también puede provenir de actividades previas de tratamiento de riesgos)

La información utilizada para estimar el impacto y la probabilidad generalmente proviene de:

 Experiencia pasada o datos y registros (por ejemplo, informes de incidentes)

 Prácticas confiables, estándares o pautas internacionales
 Investigación de mercado sobre otras organizaciones y análisis
 Experimentos y prototipos
 Modelos económicos, de ingeniería u otros
 Asesoramiento especializado y experto

Las técnicas de análisis de riesgos incluyen:

 Entrevistas con expertos en el área de interés y cuestionarios

 Uso de modelos y simulaciones existentes
 Análisis estadístico y de otro tipo

Análisis cualitativo

En el análisis cualitativo, la magnitud y la probabilidad de las posibles consecuencias se presentan y describen en

detalle. Las escalas utilizadas pueden formarse o ajustarse para adaptarse a las circunstancias, y se pueden utilizar
diferentes descripciones para diferentes riesgos. Se puede utilizar el análisis cualitativo:

 Como una evaluación inicial para identificar el riesgo que será objeto de un análisis más detallado.
 Donde se deben considerar aspectos no tangibles del riesgo (por ejemplo, reputación, cultura, imagen)
 Cuando hay una falta de información adecuada y datos numéricos o recursos necesarios para un enfoque
cuantitativo estadísticamente aceptable.

Se puede lograr un enfoque común para el análisis cualitativo utilizando una matriz de 5 por 5 (mapa de calor)
Análisis semicuantitativo

En el análisis semicuantitativo, el objetivo es asignar valores a las escalas utilizadas en la evaluación cualitativa. Estos
valores suelen ser indicativos y no reales, que es el requisito previo del enfoque cuantitativo. Por lo tanto, como el
valor asignado a cada escala no es una representación precisa de la magnitud real del impacto o la probabilidad, los
números utilizados solo deben combinarse utilizando una fórmula que reconozca las limitaciones o suposiciones
hechas en la descripción de las escalas utilizadas. También debe mencionarse que el uso del análisis semicuantitativo
puede dar lugar a varias inconsistencias debido al hecho de que los números elegidos pueden no reflejar
adecuadamente las analogías entre los riesgos, particularmente cuando las consecuencias o la probabilidad son
extremas.

Para que este enfoque sea útil, los valores seleccionados deben ser generalmente indicativos y suficientes para la
priorización de un riesgo por encima de otro riesgo. Para que cualquier proceso funcione con éxito, debe existir un
entendimiento común de estos valores y de los términos empleados.

Los valores típicos de impacto son:

•insignificante (valor = 1): sin impacto significativo o de consecuencias limitadas

•Menor (valor = 2): Impacto en una pequeña parte de la empresa únicamente.

•Importante (valor 3): impacto en la marca de la organización

•Material (valor = 4): Impacto que requiere informes externos

•Catastrófico (valor = 5): fracaso o reducción significativa de la organización

Los valores típicos de probabilidad son:

•Rara (valor = 1)

•Improbable (valor = 2): no visto en los últimos cinco años

•Moderado (valor = 3): visto en los últimos cinco años, pero no en el último año

•Probable (valor = 4): visto en el último año

•Frecuente (valor = 5): sucede de forma regular

Estos valores deben ser suficientes para permitir la priorización de riesgos de acuerdo con un enfoque
semicuantitativo.

Normalmente, la probabilidad de riesgo y las consecuencias se calcularían como:

•Riesgo = impacto x probabilidad

•Un ejemplo sería Riesgo = 4 (material) x 3 (moderado) = 12.

Análisis cuantitativo

En el análisis cuantitativo, se asignan valores numéricos tanto al impacto como a la probabilidad. Estos valores se
derivan de diversas fuentes. La calidad de todo el análisis depende de la precisión de los valores asignados y de la
validez de los modelos estadísticos utilizados. El impacto se puede determinar evaluando y procesando los diversos
resultados de un evento o extrapolando estudios experimentales o datos pasados. Las consecuencias pueden
expresarse en varios términos de:

 Monetario
 Técnico
 Operacional
 Criterios de impacto humano

Expectativa de pérdida anual (Annual Loss Expectancy) (ALE)

Las evaluaciones de riesgo cuantitativas intentan llegar a un valor numérico, generalmente expresado en términos
financieros. La forma más común es la expectativa de pérdida única (single loss expectancy) (SLE) o ALE. SLE es el
producto del valor del activo (asset value) (AV) multiplicado por el factor de exposición (exposure factor) (EF): SLE =
AV X EF.

EF es la probabilidad de que ocurra un evento y su probable magnitud, y es igual al porcentaje de pérdida de activos
causada por la amenaza identificada. El resultado es que cuanto mayor es el valor, junto con una mayor probabilidad
y magnitud, mayor es el riesgo potencial de pérdida.

ALE agrega la tasa de ocurrencia anualizada (annualized rate of occurrence) (ARO) a la ecuación con el resultado de
que ocurrencias múltiples resultarán en mayores pérdidas potenciales. ALE generalmente se expresa como: ALE =
SLE x ARO.

ALE es la pérdida financiera anual esperada de un activo, resultante de una amenaza específica.

ARO es la cantidad de veces que se estima que ocurre una amenaza en un solo activo. Cuanto mayor sea el riesgo
asociado con la amenaza, mayor será el ARO. Por ejemplo. si los datos del seguro sugieren que es probable que
ocurra un incendio grave una vez cada 25 años, entonces la tasa anualizada de ocurrencia es 1/25 = 0.04.

EF representa el porcentaje de pérdida que una amenaza realizada podría tener en un activo específico cuando la
amenaza específica coincide con una vulnerabilidad específica. Dicho de otra manera. EF es la proporción del valor
de un activo que es probable que sea destruida por un riesgo particular, expresada como porcentaje.

Valor en riesgo (Value at Risk)

Otro enfoque requerido en ciertos sectores financieros es el valor en riesgo (VAR) VAR es un cálculo basado en datos
históricos de la distribución de probabilidad de pérdida durante un período de tiempo dado con un factor de certeza
típicamente del 95 por ciento o 99 por ciento. Se llega a la distribución de probabilidad utilizando simulaciones de
Monte Carlo que generalmente se ejecutan a través de miles de iteraciones con variables aleatorias basadas en
información histórica.

Evaluación de vulnerabilidades y activos de amenazas operativamente críticas (Operationally Critica/ Threat Asset
and Vulnerability Evaluation) (OCTAVE)

OCTAVE es un enfoque para la evaluación y clasificación de riesgos que se utiliza para ayudar a una organización a
comprender. evaluar y abordar su riesgo de seguridad de la información desde la perspectiva de la organización. La
metodología OCTAVE se basa en procesos y se utiliza para identificar, priorizar y gestionar los riesgos de seguridad
de la información. Está destinado a ayudar a las organizaciones a:

 Desarrollar criterios de evaluación de riesgos cualitativos basados en tolerancias de riesgo operacional

 Identificar los activos que son críticos para la misión de la organización.
 Identificar vulnerabilidades y amenazas a los activos críticos.
 Determinar y evaluar las posibles consecuencias para la organización si se materializan las amenazas.
 iniciar acciones correctivas para mitigar el riesgo y crear una estrategia de protección basada en la práctica

OCTAVE se centra en los activos críticos y el riesgo de esos activos mediante un enfoque de evaluación integral,
sistemático, orientado al contexto y autodirigido.

Algunas características de OCTAVE son que:

 Identifica activos de información técnica

 Enfoca las actividades de análisis de riesgos en estos activos críticos.
 Considera las relaciones entre los activos críticos, las amenazas a estos activos y las vulnerabilidades (tanto
organizativas como tecnológicas) que pueden exponer los activos a las amenazas.
 Evalúa el riesgo en el contexto operativo (es decir, cómo se utilizan los activos críticos para llevar a cabo el
negocio de la organización y cómo están en riesgo debido a las amenazas y vulnerabilidades de seguridad).
 Crea una estrategia de protección basada en la práctica Para la mejora organizacional, así como planes de
mitigación de riesgos para reducir el riesgo de los activos críticos de la organización.
El proceso OCTAVE se basa en tres fases:

 Fase 1: Crear perfiles de amenazas basados en activos (evaluación organizacional): el equipo de análisis
determina los activos críticos y lo que se está haciendo actualmente para protegerlos. Luego se identifican los
requisitos de seguridad para cada activo crítico. Finalmente, se establecen las vulnerabilidades organizacionales
con las prácticas existentes y el perfil de amenaza para cada activo crítico.
 Fase 2: Identificar las vulnerabilidades de la infraestructura (evaluación tecnológica): el equipo de análisis
identifica las rutas de acceso a la red y las clases de componentes de TI relacionados con cada activo crítico.
Luego, el equipo determina hasta qué punto cada clase de componente es resistente a los ataques de red y
establece las vulnerabilidades tecnológicas que exponen los activos críticos.
 Fase 3: Desarrollar estrategias de seguridad y planes de mitigación (desarrollo de estrategias y planes). El
equipo de análisis establece el riesgo para los activos críticos de la organización basándose en el análisis de la
información recopilada y decide qué hacer con el riesgo. El equipo crea una estrategia de protección para los
planes de organización y mitigación para abordar el riesgo identificado. El equipo también determina los
próximos pasos necesarios para la implementación y obtiene la aprobación de la alta dirección sobre el resultado
de todo el proceso.

Existen otras opciones de análisis que pueden resultar útiles, aunque suelen ser más sofisticadas de lo que emplean
la mayoría de las organizaciones. Algunos de los enfoques más comunes incluyen:

 Análisis bayesiano: un análisis bayesiano es un método de inferencia estadística que utiliza datos de distribución
anteriores para determinar la probabilidad de un resultado. La efectividad y precisión de esta técnica se basan
en la precisión de los datos de distribución anteriores.
 Análisis de pajarita (Bow Tie): un análisis de pajarita proporciona un diagrama para comunicar los resultados de
la evaluación de riesgos al mostrar vínculos entre las posibles causas, controles y consecuencias. La causa del
evento se representa en el medio del diagrama (el "nudo" de la pajarita) y los desencadenantes, controles,
estrategias de mitigación y consecuencias se derivan del "nudo".
 Método Delphi: el método Delphi utiliza la opinión de expertos, que a menudo se recibe mediante dos o más
rondas de cuestionarios. Después de cada ronda de preguntas, un facilitador resume los resultados y los
comunica a los expertos. Esta técnica colaborativa se utiliza a menudo para crear un consenso entre los
expertos.
 Análisis de árbol de eventos: un análisis de árbol de eventos es un modelo de abajo hacia arriba que busca
recompensas y utiliza el razonamiento inductivo para evaluar la probabilidad de que los eventos ocurridos hasta
el momento produzcan posibles resultados.
 Análisis de árbol de fallas: un análisis de árbol de fallas comienza con un evento y examina los posibles medios
para que ocurra el evento (de arriba hacia abajo) y muestra estos resultados en un diagrama de árbol lógico. Este
diagrama se puede utilizar para generar formas de reducir o eliminar las posibles causas del evento.
 Análisis de Markov: se utiliza un análisis de Markov para analizar sistemas que pueden existir en varios estados.
El modelo de Markov asume que los eventos fixture son independientes de los eventos pasados.
 Análisis de Monte-Carlo: según IEC 31010: 2009

La simulación de Monte Carlo se utiliza para establecer la variación agregada en un sistema resultante de variaciones
en el sistema, para una serie de entradas. donde cada entrada tiene una distribución definida y las entradas están
relacionadas con la salida a través de relaciones definidas, el análisis se puede utilizar para un modelo específico
donde las interacciones de las diversas entradas se pueden definir matemáticamente. Las entradas pueden basarse
en una variedad de tipos de distribución de acuerdo con la naturaleza de la incertidumbre que pretenden
representar. Para la evaluación de riesgos, se utilizan comúnmente distribuciones triangulares o distribuciones beta.

2.7.15 EVALUACIÓN DE RIESGO

Durante la fase de evaluación de riesgos, se deben tomar decisiones sobre el tratamiento de riesgos y las prioridades
de tratamiento basadas en el análisis anterior, con previsión del margen de error probable, que puede ser
considerable si no se dispone de datos fiables.

Si el riesgo cumple con los criterios de riesgo aceptables, es probable que la opción de tratamiento sea la aceptación.
Si el riesgo excede el nivel aceptable y no está dentro de la variación de tolerancia, lo más probable es que el
tratamiento sea alguna forma de mitigación. Las opciones de mitigación incluyen la modificación o adición de
controles o la reingeniería de procesos de negocios que haría que un proceso sea menos riesgoso. Un rediseño del
sistema puede servir para reducir el riesgo técnico (por ejemplo, eliminar un solo punto de falla del sistema), o la
transferencia (o compartir) del riesgo puede ser la opción que refleje más los costos. Si no existen opciones rentables
para mitigar el riesgo excesivo, se puede decidir que la actividad no vale el riesgo o la gerencia puede decidir aceptar
el riesgo si los beneficios son lo suficientemente altos.

Normalmente, la transferencia de riesgo se selecciona para el riesgo que tiene baja probabilidad y alto impacto. Si el
riesgo se mitiga mediante el uso de controles. También se debe considerar el riesgo de control (por ejemplo, el
riesgo de control es la probabilidad de que el control falle o sea inadecuado).

En algunos casos, la evaluación de riesgos puede llevar a la decisión de realizar un análisis más detallado si los
resultados son ambiguos o se consideran inexactos o engañosos.

Los criterios utilizados por el equipo de gestión de riesgos también deben tener en cuenta los objetivos de la
organización, las opiniones de las partes interesadas y, por supuesto, el alcance y objetivo del proceso de gestión de
riesgos en sí, así como sus probables márgenes de error. Las decisiones tomadas generalmente se basan en el nivel
de riesgo, pero también pueden estar relacionadas con umbrales especificados en términos de:

 Consecuencias (por ejemplo, impactos)

 La probabilidad de eventos.
 El impacto acumulativo (agregado) de una serie de eventos que podrían ocurrir simultáneamente
 El efecto del riesgo en cascada (efecto dominó) en sistemas estrechamente acoplados
 El costo del tratamiento
 La capacidad de la organización para absorber pérdidas.

2.7.16 CLASIFICACIÓN DE RIESGO

La clasificación de riesgo se deriva de una combinación de todos los componentes del riesgo, incluido el
reconocimiento de las amenazas y las características y capacidades de una fuente de amenazas. la gravedad de una
vulnerabilidad, la probabilidad de éxito del ataque cuando se considera la eficacia de los controles, el riesgo de
control. y el impacto en la organización de un ataque exitoso. En conjunto, estos indican el nivel de riesgo asociado
con una amenaza.

2.7.17 RIESGO DE PROPIEDAD Y RESPONSABILIDAD

El riesgo requiere propiedad y responsabilidad. Una vez que se ha identificado, analizado y evaluado un riesgo, se
debe identificar como propietario a un gerente o funcionario superior de la organización. El propietario del riesgo es
responsable de aceptar el riesgo en función del apetito por el riesgo de la organización y debe ser alguien con el
presupuesto, la autoridad y el mandato para seleccionar la respuesta al riesgo adecuada en función de los análisis y
la orientación proporcionados por el gerente de seguridad de la información.

El propietario de un riesgo también es propietario de los controles asociados con ese riesgo y es responsable de
garantizar el seguimiento de su eficacia.

2.7.18 OPCIONES DE TRATAMIENTO DE RIESGOS (RESPUESTA)

Frente al riesgo, las organizaciones tienen cuatro opciones estratégicas:

 Evitar el riesgo poniendo fin a la actividad que lo origina.

 Transferir el riesgo a otra parte (tenga en cuenta que la transferencia del riesgo generalmente resulta de una
transferencia del impacto).
 Mitigar el riesgo con medidas o mecanismos de control adecuados.
 Acepta el riesgo.

Otra alternativa es que una organización puede optar por ignorar el riesgo. La distinción con aceptar el riesgo es
comprender la probabilidad y las consecuencias y encontrarlas aceptables dadas las circunstancias. El único
momento en que puede ser prudente ignorar un riesgo es cuando la probabilidad, exposición o impacto es tan
pequeño que el riesgo no se considera material para la organización o el impacto es tan grande y raro que no hay
posibilidad de abordarlo (p. Ej. , un cometa o una guerra nuclear).

Terminar la actividad

Hay otras formas de modificar las actividades o rediseñar los procesos que pueden servir para mitigar o gestionar el
riesgo a niveles aceptables. El análisis de la actividad también podría llevar a la conclusión de que no vale la pena
correr el riesgo. En esta circunstancia, debe tenerse en cuenta que a pesar de que la organización ha decidido
terminar la continuación del producto o servicio, la responsabilidad permanece mientras se esté utilizando el
producto o servicio.

Transferir el riesgo

Un ejemplo de transferencia de riesgo es la decisión de una organización de comprar un seguro para abordar áreas
de riesgo. Cuando una organización compra un seguro, parte del riesgo se transfiere a la compañía de seguros a
cambio de pagos de primas que reflejan la evaluación de la compañía de seguros del grado de riesgo que asume.
Debe reconocerse que el riesgo en realidad no se transfiere; más bien, el impacto en la organización se reduce en la
medida en que el seguro cubre algunos o todos los costos asociados con un compromiso.

El riesgo generalmente se transfiere a las compañías de seguros cuando la probabilidad de un incidente es baja, pero
el impacto es alto. Un ejemplo sería el seguro contra terremotos o inundaciones

El riesgo también se puede transferir subcontratando la funcionalidad de TI a un tercero. siempre que las cláusulas
de indemnización estén en los contratos. Sin embargo, al transferir el riesgo operativo, los acuerdos y contratos con
terceros deben abordar específicamente la responsabilidad y las responsabilidades de ambas partes en cláusulas de
indemnización específicas.

Si bien algunos de los posibles impactos financieros asociados con el riesgo pueden transferirse, la responsabilidad
legal por las consecuencias del compromiso generalmente no puede transferirse.

Mitigar el riesgo

El riesgo se puede mitigar de diversas formas, como implementar o mejorar los controles de seguridad, instituir
contramedidas o modificar o eliminar procesos riesgosos. Estos controles pueden ser preventivos y abordar
directamente el riesgo o puede ser posible reducir la exposición reduciendo así el riesgo. El impacto potencial puede
reducirse mediante controles compensatorios o correctivos, incluidos los procesos contractuales, procedimentales o
técnicos.

Aceptar el riesgo

Hay una variedad de circunstancias en las que se puede aceptar un riesgo definido. Una condición es si el costo de
mitigarlo es demasiado alto en proporción al beneficio o valor del activo. En otros casos, puede que simplemente no
sea factible mitigar de manera efectiva un riesgo o el impacto potencial puede ser bajo.

Es posible que también deban considerarse elementos como la confianza del cliente, la responsabilidad legal o el
incumplimiento de los requisitos reglamentarios. La aceptación del riesgo debe revisarse periódicamente para
garantizar que el fundamento de la aceptación inicial siga siendo válido dentro del contexto comercial actual.

Marco de aceptación de riesgos

Un marco de aceptación del riesgo puede ser una herramienta útil que se utiliza para establecer los criterios para la
aceptación del riesgo y el nivel en el que se ejecuta la aceptación por parte de la administración.
2.7.19 RIESGO RESIDUAL

Un riesgo anterior a la mitigación se denomina riesgo inherente. El riesgo que permanece después de que se
hayan implementado contramedidas y controles es el riesgo residual. El riesgo nunca se elimina; el riesgo residual
siempre permanece. Cabe señalar que reducir un riesgo inevitablemente introduce otro riesgo, con suerte de menor
naturaleza. Por ejemplo, exigir un control dual para acceder a información confidencial presenta el riesgo de que dos
personas se confabulen para proporcionar acceso no autorizado.

El objetivo es asegurar que el riesgo residual sea igual a los criterios de la organización para el riesgo aceptable y la
tolerancia al riesgo. La tolerancia al riesgo se define como la desviación permitida del riesgo aceptable y
generalmente se describe como un porcentaje o rango. El riesgo residual aceptable también debe ser el resultado
de cumplir con los objetivos de control definidos y ser equivalente a las líneas de base de seguridad definidas para la
organización.

La aceptación final del riesgo residual tiene en cuenta:

 Cumplimiento normativo
 Política organizativa
 Sensibilidad y criticidad de los activos relevantes
 Niveles aceptables de impactos potenciales
 Incertidumbre inherente al enfoque de evaluación de riesgos
 Costo y efectividad de la implementación

Al juzgar la idoneidad de los controles o contramedidas, se debe considerar el costo del ciclo de vida completo,
incluido el costo de implementar y operar medidas o mecanismos específicos equilibrados con el riesgo y los
impactos potenciales que se están abordando.

2.7.20 IMPACTO

En última instancia, todas las actividades de gestión de riesgos están diseñadas para reducir los impactos a niveles
aceptables para crear o preservar valor para la organización. El resultado de cualquier vulnerabilidad explotada por
una amenaza que causa una pérdida es un impacto.

En las organizaciones comerciales, el impacto generalmente se cuantifica como una pérdida financiera directa a
corto plazo o una pérdida financiera final (indirecta) a largo plazo. Ejemplos de tales pérdidas pueden incluir:

 Pérdida directa de dinero (efectivo o crédito)

 Responsabilidad penal o civil
 Pérdida de reputación / buena voluntad / imagen
 Reducción del valor de las acciones
 Conflicto de intereses con el personal o los clientes o accionistas.
 Violación de la confianza/privacidad
 Pérdida de oportunidad comercial / competencia
 Pérdida de participación de mercado
 Reducción de la eficiencia operativa / rendimiento
 Interrupción de la actividad empresarial
 Incumplimiento de leyes y regulaciones que resulten en sanciones.
Al igual que con los cálculos de riesgo, los cálculos de impacto se pueden realizar de forma cualitativa o cuantitativa.
Algunos impactos se prestan a una representación cuantitativa, como la gama de posibles impactos financieros.
Otros. como la pérdida de reputación o participación de mercado. puede ser más difícil y puede presentarse
adecuadamente mediante declaraciones cualitativas. Los impactos se determinan mediante la realización de una
evaluación de impacto empresarial y un análisis posterior, que generalmente incluye la recopilación de estadísticas
de la industria que proporcionan un enfoque de análisis semicuantitativo.

2.7.21 CONTROLES

Los controles son cualquier tecnología, proceso, práctica, política, estándar o procedimiento que sirve para regular
una actividad para mitigar o reducir el riesgo. Puede ser de carácter administrativo. naturaleza técnica, de gestión o
jurídica. Si bien la superposición de controles es un enfoque prudente, el uso de un número excesivo de controles
que abordan el mismo riesgo es un desperdicio y, por lo general, reduce la productividad. También es importante
asegurarse de que los diversos controles no estén sujetos al mismo riesgo, lo que anula el propósito de
superponerlos. Para que las evaluaciones de riesgos sean efectivas y razonablemente precisas, es necesario
asegurarse de que se realicen desde el principio hasta el final de los procesos. Esto facilitará la comprensión de si los
controles anteriores minimizan o eliminan algún riesgo que pueda excluir la necesidad de controles posteriores.
También ayudará a determinar si existe una redundancia o duplicación de control innecesaria.

2.7.22 REQUISITOS LEGALES Y REGLAMENTARIOS

Los requisitos legales y reglamentarios deben considerarse en términos de riesgo e impacto. Esto es necesario para
que la alta dirección determine el nivel apropiado de cumplimiento y prioridad. Primero se deben evaluar las
regulaciones para determinar en qué medida la organización está sujeta a la regulación y ya la cumple. Si se
encuentra que la organización no cumple con las regulaciones, entonces se deben evaluar las regulaciones para
determinar el nivel de riesgo que representan para la organización. La organización debe tomar en consideración el
nivel de cumplimiento y su posición relativa en relación con sus pares porque las acciones de cumplimiento
generalmente se inician contra aquellos que cumplen menos. También se debe evaluar el impacto potencial del
cumplimiento total, el cumplimiento parcial y el incumplimiento, tanto en los impactos financieros directos como en
la reputación. Estas evaluaciones proporcionan la base para que la alta dirección determine la naturaleza y el alcance
de las actividades de cumplimiento apropiadas para la organización. El gerente de seguridad de Información debe
ser consciente de que la alta gerencia puede decidir que arriesgarse a recibir sanciones es menos costoso que lograr
el cumplimiento.

2.7.23 COSTOS Y BENEFICIOS

Cuando se planifican controles o contramedidas, una organización debe considerar los costos y beneficios. Si los
costos de los controles o contramedidas específicos (control indirecto) exceden los beneficios de mitigar un riesgo
dado, la organización puede optar por aceptar el riesgo en lugar de incurrir en el costo de la mitigación. Esto sigue el
principio general de que el costo de un control nunca debe exceder el beneficio esperado. Este es el principio de
proporcionalidad descrito en los principios de los sistemas de seguridad generalmente aceptados (Generally
accepted security systems principies) (GASSP) o su sucesor, los principios de seguridad de la información
generalmente aceptados (generally accepted information security principies) (GAISP).

El análisis de costo-beneficio ayuda a proporcionar una visión del riesgo del impacto monetario y ayuda a determinar
el costo de proteger lo que es importante. Sin embargo, el análisis de costo-beneficio también se trata de tomar
decisiones inteligentes basadas en los costos potenciales de mitigación de riesgos frente a las pérdidas potenciales
(exposición al riesgo). Ambos conceptos se relacionan directamente con las buenas prácticas de gobernanza.

Si bien las pérdidas de productividad e ingresos se consideran pérdidas directas, las pérdidas indirectas pueden
incluir la cantidad de horas adicionales que los empleados tienen que trabajar para responder y recuperarse de un
incidente. Otro costo directo pueden ser los esfuerzos de protección adicionales resultantes de un compromiso.

Al considerar los costos, se debe considerar el costo total de propiedad (TCO) para el ciclo de vida completo del
control o contramedida. Esto puede incluir elementos tales como:

 Costo de adquisición
  Costos de implementación e implementación
 Costos de mantenimiento recurrentes
 Costos de prueba y evaluación
 Vigilancia y ejecución del cumplimiento
 Inconveniencia para los usuarios
 Rendimiento reducido de procesos controlados
 Capacitación en nuevos procedimientos o tecnologías según corresponda
 Desmantelamiento al final de su vida útil

2.7.24 EVENTOS QUE AFECTAN LAS LÍNEAS DE BASE DE SEGURIDAD

La seguridad básica se define como el nivel mínimo de seguridad en toda la empresa. Cabe señalar que las líneas de
base pueden ser diferentes para activos de diferentes niveles de clasificación. Obviamente, cuanto más alta sea la
clasificación, más alta y restrictiva debería establecerse la línea de base.

Varios factores pueden cambiar la ecuación de riesgo o impacto, lo que requiere que se cambie la seguridad de
referencia. La seguridad básica está determinada por la capacidad colectiva de los controles para proteger los activos
de información de la organización. La seguridad básica está esencialmente controlada por el aspecto menos
restrictivo de los estándares colectivos y es el nivel mínimo de seguridad en toda la organización. Los niveles de
seguridad de referencia también deben reflejarse en los objetivos de control.

Los gerentes de seguridad de la información necesitan monitorear y evaluar los eventos que afectan las líneas de
base de seguridad y, por lo tanto, pueden afectar el programa de seguridad de la organización. Con base en esta
evaluación, el gerente de seguridad de la información debe determinar si los planes de seguridad y los planes de
prueba de la organización requieren modificaciones para abordar el riesgo cambiante.

2.8 CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

La clasificación de activos de información es necesaria para determinar la sensibilidad y la criticidad relativas de los
activos de información, a veces denominados colectivamente valor comercial. La criticidad está determinada por el
impacto en la organización como resultado de la pérdida de un activo (es decir, la importancia del activo para el
negocio). Al no determinar el valor comercial, la sensibilidad y la criticidad (y, cada vez más, los requisitos legales y
reglamentarios) de los recursos de información, no es posible desarrollar un programa de gestión de riesgos eficaz
que proporcione una protección adecuada proporcional al valor comercial o la sensibilidad y la criticidad.

En los casos en los que no es posible realizar una clasificación completa debido a limitaciones de recursos u otras
razones, una opción menos eficaz es una evaluación de la dependencia empresarial. Esto se puede utilizar para
proporcionar una base para la asignación de actividades de protección proporcionales.

El primer paso en el proceso de clasificación es garantizar que el inventario de activos de información esté completo
y que se identifique la ubicación de cada activo.

El proceso de identificación debe incluir la determinación de la ubicación de los datos, los propietarios de los datos,
los usuarios de los datos y los custodios de los datos. El gerente de seguridad también debe determinar qué datos
almacenan los proveedores de servicios externos. Estos proveedores de servicios pueden incluir empresas de
almacenamiento y almacenamiento de medios, procesadores de listas de correo, empresas que procesan correo que
contiene información de la empresa, empresas que actúan como mensajeros o transportistas de información y
proveedores de servicios de terceros. Los proveedores de servicios también pueden incluir centros de datos que
brindan funciones de hospedaje, servicios de nómina o administración de seguros médicos.

El gerente de seguridad de la información que trabaja con las unidades de negocios debe determinar la clasificación
de información adecuada en función del valor comercial o los niveles de sensibilidad y criticidad de los activos de
información, y asegurarse de que todas las partes interesadas del negocio y de TI tengan la oportunidad de revisar y
aprobar las pautas establecidas para los niveles del control de acceso. El número de niveles debe mantenerse al
mínimo. Las clasificaciones deben ser simples, como designaciones con diferentes grados de sensibilidad y criticidad.
Los administradores de usuarios finales, en coordinación con el administrador de seguridad, pueden utilizar estas
clasificaciones en su proceso de evaluación de riesgos e impactos y para determinar los niveles de acceso de los
usuarios. El gerente de seguridad de la información también debe ser consciente de que en una organización reacia
al riesgo o con una cultura de culpa, habrá un incentivo para sobre clasificar, y será necesario considerar controles
para limitar esta tendencia.

Un beneficio importante de la clasificación de activos de información es la reducción del riesgo de subprotección y el

costo de sobreprotección de los activos de información al vincular la seguridad a los objetivos comerciales.

Hay una serie de preguntas que deben hacerse en cualquier modelo de clasificación de activos de información, que
incluyen, entre otras:

 ¿Cuántos niveles de clasificación son adecuados para la organización?

 ¿Cómo se ubicará la información?
 ¿Qué proceso se utiliza para determinar la clasificación?
 ¿Cómo se identificará la información clasificada?
 ¿Cómo se marcará?
 ¿Cómo se manejará?
 ¿Cómo se transportará?
 ¿Cómo se almacenará y archivará la información confidencial?
 ¿Cuál es el ciclo de vida de la información (crear, actualizar, recuperar, archivar, eliminar)?
 ¿Cuáles son los procesos asociados con las distintas etapas del ciclo de vida de los activos de información?
 ¿Cómo se conservará de acuerdo con la política o la ley?
 ¿Cómo se destruirá de forma segura al final del período de retención?
 ¿Quién tiene la propiedad de la información?
 ¿Quién tiene derechos de acceso?
 ¿Quién tiene autoridad para determinar el acceso a los datos?
 ¿Qué aprobaciones se necesitan para el acceso?

Una parte importante de la clasificación de la información no es solo aplicar una etiqueta de clasificación a cada
información, sino identificar las medidas de seguridad que se pueden aplicar de manera coherente a cada nivel. A
medida que aumenta el nivel de sensibilidad o criticidad, las medidas de seguridad deben aumentar en rigor para
que, al más alto nivel, los mecanismos de seguridad sean los más restrictivos o proporcionen el mayor nivel de
protección. También hay que recordar que la sensibilidad y la criticidad requieren de procesos y mecanismos de
seguridad difíciles. Para cualquier dato, el propietario puede tener que tomar una decisión tanto de sensibilidad
como de criticidad.

2.8.1 MÉTODOS PARA DETERMINAR LA CRITICALIDAD DE LOS ACTIVOS Y EL IMPACTO DE LOS EVENTOS ADVERSOS

Existen varios métodos para determinar la sensibilidad y criticidad de los recursos de información y el impacto de los
eventos adversos. Un BIA es el proceso habitual para identificar el impacto de los eventos adversos. Los métodos
descritos en COBIT, NIST y el marco OCTAVE son representativos de los recursos que el gerente de seguridad de la
información puede utilizar en este esfuerzo.

El primer paso para determinar la importancia de los activos de información es dividir la estructura corporativa u
organizativa en unidades de negocio o departamentos, Bajo la estructura organizacional corporativa o de nivel
superior, cada una de las unidades de negocios debe ser calificada por su importancia o valor para el negocio. La
importancia generalmente equivale a los ingresos, La calificación debe realizarla el equipo de alta dirección. basado
en su comprensión de la organización. Ésta es la base para establecer la estructura de gestión de riesgos. La
importancia relativa o el valor de las unidades de negocio o departamentos fluirá hacia funciones, activos y recursos
críticos.

El siguiente paso es identificar las funciones organizativas críticas. El enfoque de cada unidad de negocio o
departamento es definir qué tareas son importantes para la unidad para lograr sus objetivos. Una vez identificadas
las funciones críticas, se ha mapeado la estructura básica de la organización.
los activos y los recursos son los contenedores del riesgo. Debido a que existen vulnerabilidades identificadas con los
activos que pueden ser explotados por amenazas, existe un riesgo. una organización puede ver dónde se origina el
riesgo y cómo puede afectar potencialmente las operaciones comerciales. La naturaleza acumulada y detallada de
este enfoque es útil para la administración en toda la organización.

La capacidad para determinar cómo el riesgo identificado puede afectar las operaciones comerciales Muestra cómo
la exposición al riesgo puede afectar potencialmente algunos de los activos más valiosos de la empresa

2.8.2 EVALUACIÓN Y ANÁLISIS DE IMPACTO

Se realiza un BIA para determinar el impacto de perder la disponibilidad de cualquier recurso para una organización;
establece la escalada de esa pérdida a lo largo del tiempo, identifica los recursos mínimos necesarios para la
recuperación y prioriza la recuperación de procesos y sistemas de soporte.

Un enfoque más eficaz implica realizar un conjunto razonablemente pequeño de análisis de escenarios con las partes
interesadas clave de la organización, donde se determina una gama de resultados potenciales. Esta gama de
resultados se utiliza luego para definir una distribución cuantitativa de las magnitudes del impacto, incluidos el
mínimo, el máximo y el más probable, incluidos los valores y el nivel de confianza. Estos valores se pueden utilizar
luego como entradas para métodos de análisis cuantitativo (por ejemplo, simulaciones de Monte Carlo para
determinar la distribución de probabilidad) que describen con mayor precisión para la gestión el potencial de
impacto real.

La otra ventaja que proporciona este enfoque es que se parece más al tipo de datos de impacto que la
administración recibe en otros dominios de riesgo comercial (por ejemplo, inversión, marketing, crédito). Esta
alineación mejora la capacidad de la administración para hacer una comparación de manzanas con manzanas y
decisiones de riesgo bien informadas.

Antes de iniciar el análisis de impacto de un conjunto específico de activos, es necesario obtener la siguiente
información:

 Misión del sistema (por ejemplo, objetivos de los procesos realizados por el sistema de TI o el personal)
 Sistema (manual o técnico) y la autenticidad de los datos (por ejemplo, el valor o la importancia del sistema para
una organización)
 Eficacia del sistema, el personal y los datos (los impactos asociados con la divulgación no intencionada)

El impacto adverso de un evento de seguridad se puede describir en términos de pérdida o degradación o cualquier
combinación de integridad, disponibilidad y confidencialidad:

 Pérdida de integridad: la integridad del sistema y de los datos se refiere al requisito de que la información esté
protegida contra modificaciones indebidas. La integridad se pierde si se realizan cambios no autorizados o
erróneos en los datos o el sistema de TI por actos intencionales o accidentales. Si no se corrige la pérdida de la
integridad del sistema o de los datos, el uso continuo del sistema contaminado o los datos dañados podría
resultar en una corrupción más amplia, fraude o decisiones mal informadas. Además, la violación de la
 integridad puede ser el primer paso en un ataque exitoso contra la disponibilidad o la confidencialidad del
sistema.
 Pérdida de disponibilidad: si un sistema o proceso de TI de misión crítica no está disponible para sus usuarios
finales, la misión de la organización puede verse afectada. La pérdida de la funcionalidad del sistema y la
efectividad operativa, por ejemplo, puede resultar en una pérdida de tiempo productivo, impidiendo así el
desempeño de los usuarios finales en sus tiempos de apoyo a la misión de la organización.
 Pérdida de confidencialidad: en este contexto, la confidencialidad se refiere a la protección de la información
contra la divulgación no autorizada. El impacto de la divulgación no autorizada de información confidencial
puede variar desde poner en peligro la seguridad nacional hasta la divulgación de datos privados de los
consumidores. La divulgación no autorizada, no anticipada o involuntaria de consumidores privados u otros
datos regulados puede resultar en la pérdida de la confianza pública, la pérdida de la base de clientes y acciones
legales contra la organización.

Algunos impactos tangibles se pueden medir cuantitativamente en pérdida de ingresos, el costo de reparación del
sistema o el nivel. del esfuerzo requerido para corregir los problemas causados por un compromiso. Otros impactos
(por ejemplo, pérdida de confianza pública, pérdida de credibilidad, daño a los intereses de una organización) no
pueden medirse en unidades específicas, pero pueden describirse cualitativamente en términos de impactos altos,
medios y bajos.

Al realizar un análisis de impacto, se deben tener en cuenta las ventajas y desventajas de las evaluaciones
cuantitativas frente a las cualitativas. La principal ventaja del análisis de impacto cualitativo es que prioriza el riesgo
e identifica áreas de mejora inmediata para abordar las vulnerabilidades. La desventaja del análisis cualitativo es que
no proporciona medidas cuantificables específicas de la magnitud de los impactos, lo que dificulta el análisis de
costo-beneficio de los controles recomendados.

La principal ventaja de un análisis de impacto cuantitativo es que proporciona una medida de la magnitud de los
impactos, que se puede utilizar en el análisis de costo-beneficio de los controles recomendados.

La desventaja es que, dependiendo de los rangos numéricos utilizados para expresar la medición, el significado del
análisis de impacto cuantitativo puede ser poco claro, lo que requiere que el resultado se interprete de manera
cualitativa. También se deben considerar factores adicionales para determinar la magnitud del impacto, como el
rango de posibles errores en la estimación o en los cálculos.

2.9 GESTIÓN DE RIESGOS OPERATIVOS

El riesgo operativo se define como el riesgo de pérdida resultante de procesos, personas y sistemas inadecuados o
fallidos, o de eventos externos. La interrupción de las operaciones comerciales es un problema mayor y su
prevención es el enfoque principal de la gestión de riesgos. En la mayoría de los casos, la gestión de incidentes es
adecuada para gestionar el riesgo materializado y minimizar la interrupción significativa de las operaciones. En
algunos casos, los incidentes se convertirán en desastres y caerán dentro del ámbito de la continuidad empresarial y
la recuperación ante desastres.

2.9.1 OBJETIVOS DEL TIEMPO DE RECUPERACIÓN

El gerente de seguridad de la información debe comprender los RTO y cómo se aplican a los recursos de información
de la organización como parte de la evaluación general del riesgo. Las necesidades comerciales de la organización
dictarán el RTO, que generalmente se define como la cantidad de tiempo para recuperar un nivel aceptable. de
operaciones normales. El nivel aceptable lo define el SDO. La criticidad funcional del activo de información, las
prioridades de recuperación y las interdependencias compensadas por los costos son variables que determinarán el
RTO.

La determinación de los RTO puede depender de una serie de factores que incluyen la necesidad cíclica (p. Ej.,
Tiempo de duración, semana, mes o año) de la información y la organización, las interdependencias entre la
información y los requisitos de la organización, y el costo de las opciones disponibles. Los requisitos de la
organización pueden basarse en las necesidades del cliente, las obligaciones contractuales o SLA, y posiblemente, los
requisitos reglamentarios.
El gerente de seguridad de la información debe considerar que el RTO puede variar según el momento del mes o
año.

Los RTO se determinan realizando un BIA en coordinación con el desarrollo de un BCP. La interconexión de sistemas
y sus dependencias generalmente requerirá un BIA para la mayoría o todos los sistemas relacionados con críticos.
funciones comerciales, ya que esto afectará el orden de restauración.

El BIA generalmente se realiza entrevistando a los propietarios de la información para obtener su perspectiva sobre
el costo asociado con una interrupción en el servicio para un sistema o proceso comercial. A menudo, hay dos
perspectivas para los RTO. Una es la perspectiva de las personas cuyo trabajo es utilizar la información, y la otra es la
opinión de la alta dirección, que debe considerar los costos y puede necesitar arbitrar entre las unidades de negocios
que compiten por los recursos. Un activo de información que un supervisor de división puede considerar crítico
puede no serlo a los ojos del vicepresidente de operaciones, quien puede incluir el riesgo organizacional general en
la evaluación del RTO.

El gerente de seguridad de la información debe comprender que ambas perspectivas son importantes y trabajar
hacia un RTO que considere ambas. El resultado tendrá en cuenta el BCP, el alcance de los servicios a restaurar y el
orden de prioridad para la recuperación de los sistemas. Al final, la decisión final es la de la alta dirección. La alta
dirección está en la mejor posición para arbitrar las necesidades y requisitos de los diferentes componentes del
negocio, como los requisitos reglamentarios a los que está sujeta la organización, y determinar qué procesos son los
más críticos. para la supervivencia continua del negocio, así como para determinar costos aceptables.

2.9.2 RTO Y SU RELACIÓN CON LA PLANIFICACIÓN DE CONTINUIDAD DEL NEGOCIO Y LA PLANIFICACIÓN DE

CONTINGENCIA OBJETIVOS Y PROCESOS

El conocimiento del RTO para los sistemas de información y sus datos asociados es necesario para que una
organización desarrolle e implemente un programa de BCP eficaz. Una vez que se conocen los RTO, la organización
puede identificar y desarrollar estrategias de contingencia que cumplirán con los RTO de los recursos de
información. Los RTO impulsarán el orden de prioridad para la restauración de servicios y, en ciertos casos, la
selección de tecnologías de recuperación específicas en situaciones donde el RTO es corto.

Un factor crítico a la hora de desarrollar procesos de contingencia es el costo. Los propietarios de sistemas prefieren
invariablemente RTO más cortos, pero las compensaciones en el costo pueden no estar justificadas. Se puede lograr
una recuperación casi instantánea, cuando sea necesario, utilizando tecnologías como la duplicación de sistemas de
información, de modo que, en caso de una interrupción, los sistemas de información estén siempre disponibles
rápidamente. En general, el costo de recuperación es menor si el RTO para un recurso dado es mayor.

Existe un punto de equilibrio del período de tiempo para determinar el RTO, donde el impacto de la interrupción
comienza a ser mayor que el costo de recuperación. La duración de este período de tiempo depende de la naturaleza
de la interrupción del negocio y de los activos involucrados. Deben tenerse en cuenta tanto cuestiones cualitativas
como cuantitativas porque la pérdida de confianza del cliente, incluso si no se puede estimar, puede tener un
impacto negativo a largo plazo en la organización. La mayoría de las organizaciones pueden reducir sus RTO, pero
existe un costo asociado.

2.9.3 OBJETIVOS DEL PUNTO DE RECUPERACIÓN RECOVERY POINT OBJECTIVES (RPO)

El RPO se determina en función de la pérdida de datos aceptable en caso de interrupción de las operaciones. Indica
el momento más reciente en el que es aceptable recuperar los datos, que generalmente es la última copia de
seguridad. RPO cuantifica eficazmente la cantidad permisible de pérdida de datos en caso de interrupción.
Dependiendo del volumen de datos, puede ser aconsejable reducir el tiempo entre copias de seguridad para evitar
una situación en la que la recuperación sea imposible debido al volumen de datos que se van a restaurar. También
puede darse el caso de que el tiempo necesario para restaurar un gran volumen de datos imposibilite alcanzar el
RTO.

Si bien este suele ser el alcance de la planificación de la continuidad del negocio y la recuperación de desastres, es
una consideración importante al desarrollar una estrategia de gestión de riesgos.

2.9.4 OBJETIVOS DE ENTREGA DEL SERVICIO (SERVICE DELIVERY OBJECTIVES) (SDO)

Los SDO se definen como el nivel mínimo de servicio que se debe restaurar después de un evento para cumplir con
los requisitos comerciales hasta que se puedan reanudar las operaciones normales. Los SDO se verán afectados
tanto por los RTO como por los RPO y también deben tenerse en cuenta en cualquier estrategia e implementación
de gestión de riesgos. Un nivel de servicio más alto generalmente requerirá mayores recursos, así como RPO más
actuales.

2.9.5 APAGADO MÁXIMO TOLERABLE (MAXIMUM TOLERABLE OUTAGE) (MTO)

MTO se refiere al tiempo máximo que una organización puede operar en modo alternativo (o de recuperación).
Varios factores pueden afectar el MTO, como la disponibilidad de combustible para operar los generadores de
emergencia, la accesibilidad de un sitio de recuperación que podría estar ubicado de forma remota y la capacidad
operativa limitada del sitio de recuperación. Esta variable afectará al RTO, que, a su vez, afectará al RPO.

Desde una perspectiva de gestión de riesgos, se debe considerar la relación entre el MTO, RTO y RPO para minimizar
el riesgo de una recuperación inadecuada para la organización.

2.9.6 VENTANA DE INTERRUPCIÓN PERMITIDA (ALLOWABLE INTERRUPTION WINDOW) (AIW)

AIW es la cantidad de tiempo que las operaciones normales pueden pasar antes de que la organización enfrente
grandes dificultades financieras que amenazan su existencia. En cualquier caso, el MTO debe ser tan largo como el
AIW para minimizar el riesgo para la organización en caso de desastre.

2.10 PROVEEDORES DE SERVICIOS DE TERCEROS

Una organización típica utiliza muchos recursos de información para respaldar sus procesos comerciales. Estos
recursos pueden originarse dentro de la organización o ser proporcionados por entidades externas a la organización.
La mayoría de las organizaciones utilizarán una combinación de los dos. El gerente de seguridad de la información
debe conocer la ubicación y los permisos de acceso para todos los recursos de información porque todos requieren
protección independientemente de quién los esté procesando.

El gerente de seguridad de la información debe tener en cuenta una serie de consideraciones al subcontratar, que
incluyen:

 Asegurarse de que la organización cuente con los controles y procesos adecuados para facilitar la
subcontratación.
 Asegurarse de que haya cláusulas de gestión de riesgos de información adecuadas en el contrato de
subcontratación.
 Asegurar que se realice una evaluación de riesgos para que el proceso sea subcontratado.
 Asegurarse de que se lleve a cabo un nivel adecuado de diligencia debida antes de la firma del contrato.
 Gestionar el riesgo de información de los servicios subcontratados en el día a día.
 Asegurar que se marquen los cambios materiales en la relación y que se realicen nuevas evaluaciones de riesgo
según sea necesario.
 Asegurarse de que se sigan los procesos adecuados cuando se terminan las relaciones.

Las consideraciones al subcontratar servicios incluyen lo siguiente:

 La subcontratación o la planificación para subcontratar funciones críticas para el negocio generalmente aumenta
el riesgo de información.
 La complejidad de administrar el riesgo de información aumenta en los acuerdos de subcontratación por la
separación de la responsabilidad de la especificación del control y la implementación del control.
 La separación de la responsabilidad de la especificación del control y la implementación del control se salva
mediante el contrato de subcontratación. Esto subraya la importancia del contrato como el método principal a
través del cual la organización puede gestionar su riesgo de información.
 La subcontratación o la planificación para subcontratar funciones críticas para el negocio generalmente aumenta
el riesgo de información.
 La complejidad de administrar el riesgo de información aumenta en los acuerdos de subcontratación por la
separación de la responsabilidad de la especificación del control y la implementación del control.
 La separación de la responsabilidad de la especificación del control y la implementación del control se salva
mediante el contrato de subcontratación. Esto subraya la importancia del contrato como el método principal a
través del cual la organización puede gestionar su riesgo de información.

Los requisitos de gestión de riesgos de la información para las funciones comerciales subcontratadas son diferentes
de los de las funciones internas y, en muchos casos, son mayores. Una vez que se ha analizado el riesgo de la
información y se han identificado los controles, estos controles deben definirse dentro del contrato para que el
proveedor los implemente. La subcontratación da como resultado una desconexión entre el establecimiento de los
controles y su implementación.

La figura 2.24 proporciona una visión simplista de esta separación de las responsabilidades de la organización frente
a las del proveedor.

El gerente de seguridad de la información debe ser consciente de que, aunque la organización puede externalizar la
gestión de riesgos de la información a un tercero, generalmente no puede externalizar la responsabilidad.

La desconexión entre la definición del control y la implementación del control hace que la gestión del riesgo asociado
con la subcontratación de funciones comerciales sea compleja y hace que el contrato de subcontratación sea
esencial en la gestión del riesgo de la información. El desafío para el gerente de seguridad de la información es cómo
definir e implementar controles de gestión de riesgos de la información en diferentes funciones comerciales
subcontratadas en toda la organización.

El problema comercial es la necesidad de definir e implementar medidas de gestión de riesgos de la información

para proteger la información dentro de las funciones comerciales que se han entregado a un tercero para operar en
el día a día.

Las recomendaciones de riesgo de información para las iniciativas de subcontratación incluyen garantizar lo
siguiente:

 Participación oportuna de los profesionales de la gestión de riesgos de la información para garantizar la

evaluación de riesgos y la definición de controles.
 Negociación de controles de gestión de riesgos de información clave dentro del contrato.
 Mecanismos para negociar pequeños cambios en los controles de gestión de riesgos de la información, ya que
pueden resultar costosos.
 Evitar cambios difíciles y complicados en los controles de gestión de riesgos de la información.
 Mecanismos para obtener información sobre si el riesgo de información se está gestionando de manera eficaz.
 Mecanismos para compensar la falta de confianza en el personal del proveedor

2.10.1 DESAFÍOS DE LA TERCERIZACIÓN

Los recursos de información subcontratados pueden presentar a un gerente de seguridad de la información otros
desafíos, incluidas las organizaciones externas que pueden ser reacias a compartir detalles técnicos sobre la
naturaleza y el alcance de sus mecanismos de protección de la información. Esto hace que sea fundamental
garantizar que se incluyan niveles de protección específicos adecuados en los SLA y otros contratos de
subcontratación.

Una parte del riesgo asociado con los servicios de información subcontratados se puede transferir incorporando
cláusulas de indemnización en los SLA. Las cláusulas clave que deben formar parte de un contrato de terceros deben
incluir, entre otras, las siguientes:

 Derecho a solicitar el código en caso de incumplimiento del proveedor (p. Ej., Depósito en garantía del
código de emergencia)
 Requisito de que el proveedor cumpla a tiempo con los requisitos reglamentarios y de la industria
 Derecho a auditar los libros de cuentas y las instalaciones del proveedor.
 Derecho a revisar los procesos del proveedor
 Insistencia en procedimientos operativos estándar (POE)
 Derecho a evaluar los conjuntos de habilidades de los recursos del proveedor
 Información anticipada si se van a cambiar los recursos desplegados.

También se debe desarrollar y acordar formalmente un SLA que explique la puntualidad de la respuesta (del sistema
y humana), el análisis de las expectativas y otras cuestiones clave.

2.11 INTEGRACIÓN DE LA GESTIÓN DE RIESGOS CON LOS PROCESOS DEL CICLO DE VIDA

Asegurar que las actividades de identificación, análisis, evaluación y mitigación de riesgos se integren en los procesos
del ciclo de vida es una tarea importante para la gestión de la seguridad de la información. La mayoría de las
organizaciones tienen procedimientos de gestión de cambios que pueden proporcionar al gerente de seguridad de la
información un enfoque para implementar procesos de gestión de riesgos de forma continua. Debido a que es
probable que los cambios en cualquier recurso de información introduzcan nuevas vulnerabilidades y cambien la
ecuación de riesgo general, es importante que el gerente de seguridad de la información esté al tanto de las
modificaciones propuestas.

El gerente de seguridad de la información debe ser consciente de estas actividades de gestión de cambios y
asegurarse de que la seguridad esté bien arraigada para que no se realicen cambios sin considerar las implicaciones
para la seguridad general de los activos de información de la organización. Un método para ayudar a garantizar esto
es que la administración de seguridad de la información participe como miembro del comité de administración de
cambios y se asegure de que todos los cambios significativos estén sujetos a revisión y aprobación por parte de
seguridad y cumplan con los requisitos de políticas y estándares.

Si bien el enfoque normal en la gestión de cambios aborda los cambios de hardware y software (pruebas,
aprobaciones, etc.) y el impacto en la seguridad, el proceso de gestión de cambios debe extenderse mucho más allá
de los propietarios del sistema y la población de TI. El proceso de gestión de cambios debe incluir la gestión de
instalaciones con respecto a la infraestructura del centro de datos y cualquier otra área que pueda afectar la
seguridad de la información general (por ejemplo, control de acceso físico de áreas sensibles o críticas).

Al integrar las actividades de identificación, análisis y mitigación de riesgos en la gestión de cambios (procesos del
ciclo de vida), el gerente de seguridad de la información puede garantizar que los recursos de información críticos
estén adecuadamente protegidos. Este es un enfoque proactivo, que permite al gerente de seguridad de la
información planificar e implementar mejor las políticas y procedimientos de seguridad en consonancia con las
metas y objetivos comerciales de la organización. También permite que los controles de seguridad de la información
se interpongan en una actividad que tiene el mayor potencial para degradar los controles existentes.

2.11.1 GESTIÓN DE RIESGOS PARA EL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS DE TI

Según la publicación especial 800-30 del NIST, minimizar el impacto negativo en una organización y la necesidad de
una base sólida para la toma de decisiones son las razones fundamentales por las que las organizaciones
implementan un proceso de gestión de riesgos para sus sistemas de TI. La gestión de riesgos eficaz debe estar
completamente integrada en el ciclo de vida de desarrollo del sistema (system development life cycle)(SDLC). El SDLC
de un sistema de TI tiene cinco fases: inicio, desarrollo o adquisición, implementación, operación o mantenimiento y
eliminación. En algunos casos, un sistema de TI puede ocupar varias) de estas fases al mismo tiempo. Sin embargo, la
metodología de gestión de riesgos es la misma, independientemente de la fase SDLC para la que se esté realizando la
evaluación. La gestión de riesgos es un proceso iterativo que se puede realizar durante cada fase principal del SDLC.

2.11.2 PRINCIPIOS Y PRÁCTICAS DE GESTIÓN DE RIESGOS BASADOS EN EL CICLO DE VIDA

Dado que la gestión de riesgos es un proceso continuo, el director de seguridad de la información debe considerar
que la gestión de riesgos en sí tiene un ciclo de vida. Este ciclo de vida incluye las fases de evaluación, tratamiento y
seguimiento. El empleo de un enfoque de gestión de riesgos basado en el ciclo de vida y la integración con la gestión
de cambios mejora los costes en el sentido de que no es necesario realizar una evaluación completa de riesgos de
forma periódica. En su lugar, se pueden realizar actualizaciones a los procesos de evaluación de riesgos y gestión de
riesgos de forma incremental.

2.12 LÍNEAS DE BASE DEL CONTROL DE SEGURIDAD

Una línea de base se define como "un conjunto inicial de observaciones o datos críticos utilizados para comparación
o control". Para poder formular una línea de base de los controles de seguridad, es necesaria una medición de la
eficacia y eficiencia de los controles. Por lo general, una línea de base no se basa en una única prueba de controles,
sino en la capacidad general de los controles para mitigar colectivamente el riesgo a niveles aceptables.

Para establecer líneas de base de control, los gerentes de seguridad pueden consultar muchos de los estándares
publicados que pueden implementarse dentro de la organización. Con base en estos estándares, se realiza una
prueba del control varias veces para establecer una evaluación de la efectividad y eficiencia del control requerido
por el estándar.

2.13 SEGUIMIENTO DE RIESGOS Y COMUNICACIÓN

La implementación de un programa de gestión de riesgos eficaz requiere supervisión y comunicación. El seguimiento

de la eficacia de los controles es un esfuerzo continuo necesario para gestionar el riesgo. Deben establecerse canales
de comunicación tanto para informar y difundir información relevante para la gestión del riesgo como para
proporcionar al gerente de seguridad de la información con información sobre las actividades relacionadas con el
riesgo en toda la empresa, lo que incluye informar sobre cambios significativos en el riesgo y capacitación y
concientización.

2.13.1 SEGUIMIENTO DE RIESGOS

Un componente importante del ciclo de vida de la gestión de riesgos es el seguimiento, la evaluación, la valoración y
la notificación de los riesgos de forma continua. Los resultados y el estado de este análisis en curso deben
documentarse e informarse a la alta dirección de forma periódica. Para facilitar este tipo de informes, pueden
resultar útiles ayudas visuales como gráficos o tablas y resúmenes resumidos.

Los informes rojo-ámbar-verde, a menudo denominados paneles de seguridad, gráficos de calor o gráficos de
semáforos, se utilizan a menudo para mostrar una evaluación general de la postura de seguridad. Dependiendo de
los destinatarios, otras formas de representar el estado de seguridad, como los gráficos de barras o los gráficos de
araña, suelen ser más eficaces para transmitir tendencias. Cualquiera que sea la forma de presentación de informes,
el gerente de seguridad de la información es responsable de administrar este proceso de presentación de informes
para garantizar que se lleve a cabo y que los resultados se analicen adecuadamente y se actúe de manera adecuada
de manera oportuna. Esta responsabilidad incluye identificar los tipos de eventos que desencadenarán los informes
requeridos por las agencias reguladoras y / o la aplicación de la ley y asesorar a la gerencia sobre este requisito.

2.13.2 INDICADORES CLAVE DE RIESGO (KEY RISK INDICATORS)

Un enfoque que se utiliza cada vez más es informar y monitorear el riesgo mediante el uso de KRls. Los KRls pueden
definirse como medidas que, de alguna manera, indican cuándo una empresa está sujeta a un riesgo que excede un
nivel de riesgo definido.

KRls puede proporcionar avisos tempranos sobre posibles problemas o áreas que presentan un riesgo particular.

Un KRI se diferencia por ser altamente relevante y poseer una alta probabilidad de predecir o indicar un cambio
significativo en el riesgo. La selección de KRis, además de la experiencia, puede basarse en fuentes como puntos de
referencia de la industria, servicios de informes de amenazas externas o cualquier otro factor que pueda ser
monitoreado que indique cambios en el riesgo para la organización.

Los criterios para seleccionar KRls efectivos incluyen:

 Impacto: es más probable que los indicadores de riesgo con alto impacto potencial sean KRls.
 Esfuerzo para implementar, medir y reportar: Para diferentes indicadores de sensibilidad equivalente al riesgo
cambiante, se prefieren los que son más fáciles de medir.
 Fiabilidad: el indicador debe tener una alta correlación con el riesgo y ser un buen predictor o medida de
resultado.
 Sensibilidad: el indicador debe ser representativo del riesgo y capaz de indicar con precisión las variaciones en el
nivel de riesgo.

Debido a que los entornos internos y externos de la empresa cambian constantemente, el entorno de riesgo también
es muy dinámico y el conjunto de KRJ probablemente cambiará con el tiempo. Cada KRJ está relacionado con el
apetito por el riesgo y la tolerancia, por lo que se pueden definir niveles de activación que permitirán a las partes
interesadas tomar las medidas adecuadas de manera oportuna.

2.13.3 INFORMAR CAMBIOS SIGNIFICATIVOS EN EL RIESGO

A medida que ocurren cambios en una organización, la evaluación de riesgos debe actualizarse para garantizar su
precisión continua. Informar estos cambios al nivel apropiado de administración en el momento adecuado es una
responsabilidad principal del gerente de seguridad de la información. El gerente de seguridad de la información debe
tener reuniones periódicas con la alta gerencia para presentar un estado del perfil de riesgo general de la
organización, incluidos los cambios en el nivel de riesgo, así como el estado de cualquier riesgo abierto (no tratado).

2.14 FORMACIÓN Y SENSIBILIZACIÓN

Las personas generalmente constituyen el mayor riesgo para cualquier organización, generalmente por accidente,
error, falta de conocimiento / información y, ocasionalmente, intención maliciosa. Las campañas de formación y
sensibilización adecuadas pueden tener una contribución positiva significativa en la gestión de riesgos. Muchos
controles son de procedimiento y requieren cierto conocimiento operativo y cumplimiento. Los controles técnicos
deben configurarse y operarse correctamente para proporcionar el nivel de seguridad esperado. Asegurar que los
usuarios estén educados en los procedimientos y comprendan los procesos de administración de riesgos es
responsabilidad del gerente de seguridad de la información, y cualquier programa de administración de riesgos debe
incluir actividades de capacitación y concientización adecuadas.

El programa de formación y concienciación debe estar dirigido a diferentes niveles de personal y seguridad (por
ejemplo, alta dirección, mandos intermedios / personal de TI y usuarios finales).

La capacitación en seguridad de la información del usuario final debe incluir, entre otras cosas, sesiones sobre:

 La importancia de adherirse a las políticas y procedimientos de seguridad de la empresa.

 Responder a situaciones de emergencia
 Importancia del acceso lógico en un entorno de TI
 Requisitos de privacidad y confidencialidad
 Reconocer y reportar incidentes de seguridad.
 Reconocer y ocuparse de la ingeniería social

2.15 DOCUMENTACIÓN

Para gestionar el riesgo de forma eficaz, se requiere la documentación adecuada que esté fácilmente disponible con
respecto a las políticas y estándares de gestión de riesgos, así como otros asuntos relevantes relacionados con el
riesgo. Las decisiones sobre la naturaleza y el alcance de la documentación implican costos y beneficios relacionados.
La estrategia, la política y el programa de gestión de riesgos definen la documentación necesaria. Específicamente,
en cada etapa del proceso de gestión de riesgos, la documentación debe incluir:

 Objetivos
 Audiencia
 Recursos de información
 Supuestos
 Decisiones

Un documento de política de gestión de riesgos incluye información como:

 Objetivos de la política y justificación de la gestión del riesgo

 Alcance y estatuto de la gestión de riesgos de la información
 Vínculos entre la política de gestión de riesgos y los planes comerciales estratégicos y corporativos de la
organización.
 Alcance y variedad de cuestiones a las que se aplica la política.
 Orientación sobre lo que se considera niveles de riesgo aceptables
 Responsabilidades de gestión de riesgos
 Apoyar la experiencia disponible para ayudar a los responsables de gestionar el riesgo.
 Nivel de documentación requerido para diversas actividades relacionadas con la gestión de riesgos (por ejemplo,
gestión de cambios).
 Un plan para revisar el cumplimiento de la política de gestión de riesgos.
 Niveles de gravedad de incidentes y eventos
 Procedimientos, formato y frecuencia de presentación de informes y escalado de riesgos

En algunas circunstancias, es posible que se requiera una declaración de cumplimiento y diligencia debida para
garantizar que los gerentes reconozcan formalmente su responsabilidad de cumplir con las políticas y
procedimientos de gestión de riesgos.

 Un registro de riesgos: para cada riesgo identificado, el registro debe registrar lo siguiente:
a. Fuente de riesgo
b. Naturaleza del riesgo
c. Propietario del riesgo
d. Clasificación de riesgo por gravedad
e. Opción de tratamiento seleccionada
f. Controles existentes
g. Los controles recomendados no implementados y las razones por las que deberían implementarse
 Consecuencias y probabilidad de compromiso, que incluyen:
a. Pérdida de ingresos
b. Gasto inesperado
c. Riesgo legal (cumplimiento y contractual)
d. Procesos interdependientes
e. Pérdida de reputación o confianza públicas
 Calificación de riesgo inicial
 Vulnerabilidad a factores externos / internos
 Un inventario de activos de información, incluidos activos de telecomunicaciones y TI, que enumera:
a. Descripción del activo
b. Especificaciones técnicas
c. Número / cantidad
d. Localización
e. Requisitos especiales de licencia, si los hubiera
 Un plan de acción y mitigación de riesgos, que proporciona:
a. Quién tiene la responsabilidad de implementar el plan
b. Recursos a utilizar
c. Asignación de presupuesto
d. Calendario de implementación
e. Detalles del mecanismo / medidas de control
f. Requisitos de cumplimiento de políticas
• Documentos de seguimiento y auditoría, que incluyen:

a. Resultados de auditorías / revisiones y otros procedimientos de monitoreo Seguimiento de las

recomendaciones de revisión y estado de implementación

Por último, es fundamental que toda la documentación esté sujeta a un proceso de control de versiones eficaz, así
como a un enfoque estándar para el marcado y la manipulación. La documentación debe estar etiquetada de
manera visible con el nivel de clasificación, la fecha y el número de revisión, las fechas de vigencia y el propietario
del documento.

2.16 ESTUDIO DE CASO

Un minorista importante se vio comprometido, lo que resultó en la pérdida de aproximadamente 45 millones de

registros de tarjetas de crédito y débito. Las estimaciones de los costos totales finales para el minorista fueron de
hasta US $ 18 mil millones, incluidos los costos incurridos por los bancos al tener que reemplazar las tarjetas y cubrir
los cargos fraudulentos resultantes.

También incluyó los posibles costos de demandas, sanciones gubernamentales y tarifas impuestas por la principal
organización de tarjetas de crédito por no cumplir con PCI. El minorista Toe también sufrió una disminución del 46
por ciento en las ventas navideñas cuando se hizo pública la violación.

Tras el análisis del incidente, se descubrió que la infracción fue facilitada inicialmente por un correo electrónico de
phishing a uno de los proveedores de servicios del minorista, una pequeña empresa de HVAC. El minorista tenía un
portal de proveedores y proveedores de servicios para facilitar las compras y la facturación. Una vez que los piratas
informáticos obtuvieron acceso a la empresa de servicios, utilizaron el portal del minorista para acceder a la red del
minorista. Aunque el portal estaba en una porción segmentada de la red, los intrusos lograron cerrar el segmento y
obtener acceso a la red interna. Desde allí, obtuvieron acceso al sistema de punto de venta (POS) donde instalaron
malware en los terminales POS que capturaron transacciones de tarjetas de crédito y débito porque el tráfico de POS
estaba en texto sin cifrar para evitar la sobrecarga del sistema asociada con el cifrado.

La información no cifrada de la cliente interceptada se almacenó en el servidor del minorista comprometido y luego
se exfiltró a una serie de proveedores de servicios de Internet antes de finalmente enviarse al extranjero en un
esfuerzo por ocultar el rastro. Para enmascarar la exfiltración, los datos se enviaron solo durante el horario comercial
normal. El análisis descubrió que la exfiltración no comenzó hasta varias semanas después de la instalación del
malware.

El minorista había contratado previamente a FireEye para monitorear sus sistemas en busca de intrusiones y
malware. Casi de inmediato, FireEye envió varias alertas al departamento de seguridad del minorista indicando
cuáles de los servidores estaban comprometidos según el acuerdo con el minorista. El grupo de seguridad no tomó
ninguna medida inmediata. No se tomó ninguna medida hasta varias semanas después, cuando el minorista recibió
una notificación de una agencia gubernamental de que se había comprometido.

1. Desde el punto de vista de la gestión de riesgos, ¿quién en la organización debería ser el principal responsable de
este evento?

A. Junta Directiva
B. director ejecutivo
C. gerente de seguridad de la información
D. gerente de TI

2. ¿Qué se podría haber hecho para asegurar que se tomara la acción más efectiva cuando FireEye notificó al
departamento de seguridad de la compañía que los servidores se habían comprometido?

A. Investigar y analizar el impacto potencial de los servidores comprometidos.

B. Aislar los dispositivos POS.
C. Iniciar un plan de gestión de incidentes probado.
D. Localice y elimine el malware en los dispositivos POS.
3. ¿Qué podría sugerir el gerente de seguridad de la información desde el punto de vista de la gestión de riesgos
para evitar que ocurra un incidente similar en el futuro?

Respuestas en la página 130.

CAPÍTULO 2 CLAVE DE RESPUESTA

VERIFICACIÓN DE CONOCIMIENTOS: ANÁLISIS SEMIQUANTITATIVO (PÁGINA 110)

1. Si este producto falla o si su lanzamiento se ve obstaculizado por problemas técnicos, podría producirse un
impacto negativo importante en la reputación de la organización. Utilizando la escala de la página 110, el valor
asignado sería Mayor o 3. La probabilidad de que este producto falle si todo va bien, pero es probable que falle la
infraestructura debido a la prisa por llegar al mercado. Teniendo en cuenta estos dos factores, una estimación
razonable sería Moderada, o valor 3. El riesgo sería entonces igual a 9.

2. El costo de una infracción anualmente sería de US $ 10.000, por lo que el impacto sería Menor, o valor 2. La
probabilidad de una infracción es Probable, ya que se incurrirá anualmente, o valor 4. El riesgo sería entonces igual a
8.

3. El impacto del sistema de cuarentena de correo electrónico podría considerarse Menor, ya que afectaría solo al
sistema de correo electrónico de la empresa, o valor. 2. La probabilidad de que el correo no deseado u otro
contenido de correo malicioso atraviese el sistema es frecuente, como suele suceder, o valor. 5. Por lo tanto, el
riesgo sería igual a 10.

VERIFICACIÓN DE CONOCIMIENTOS: ANÁLISIS DE COSTOS Y BENEFICIOS (PÁGINA 115)

1. En esta situación, 10,000 empleados perdiendo una hora de productividad a US $ 30 por hora equivaldrían a un
costo en productividad de $ 300,000 (10,000 X 1 X 30 = 300,000).

2. El costo del software de escaneo anti-malware equivaldría a US $ 80,000 ($ 20,000 por 10,000 dispositivos
multiplicado por 4 para 40,000 dispositivos). La sesión de capacitación le costaría a la organización 20,000 horas de
tiempo de productividad de los empleados, o $ 600,000 (40,000 x 0.5 x 30 = 600,000).

3. El software anti-malware sería la opción menos costosa, pero no ayudaría a los empleados a ser proactivos para
proteger sus sistemas de software malicioso. Ambas opciones ayudarían a eliminar posibles ataques futuros en caso
de que el software no detecte software malicioso.

ESTUDIO DE CASO (PÁGINA 129)

Pregunta 1:

A. Es responsabilidad de la junta directiva asegurarse de que la dirección ejecutiva aborde adecuadamente los
riesgos importantes para la organización. Estas y otras fallas sistémicas en varios departamentos fueron el
resultado de la falta de supervisión, recursos, autoridad o competencia, o quizás una integración o comunicación
inadecuada. Cualquiera que sea el caso o la combinación de causas, la responsabilidad de la serie de fallas que
llevaron a este evento catastrófico inevitablemente es una falla de gobierno y reside en la junta directiva.

B. El CEO sería responsable de los aspectos del programa de seguridad de la información y las circunstancias que
llevaron al evento; sin embargo, este incidente fue causado principalmente por fallas en la gobernanza.

C. El gerente de seguridad de la información sería responsable de los aspectos del programa de seguridad de la
información y las circunstancias que llevaron al evento; sin embargo, este incidente fue causado principalmente por
fallas en la gobernanza.

D. El gerente de TI es responsable de ciertos aspectos del programa IT del minorista; sin embargo, este incidente fue
causado principalmente por fallas en la gobernanza.

Pregunta 2:
A. Aislar los servidores afectados e implementar el cifrado habría evitado las transacciones de POS, lo que habría
provocado una pérdida significativa de ingresos, a menos que los servidores de respaldo en una instalación de
recuperación se hubieran puesto en línea para manejar el tráfico.

B. Una vez que los dispositivos POS se vieron comprometidos, hubo pocas opciones buenas disponibles.
Desconectarlos habría tenido un impacto enorme en los ingresos. Debido a que la información de crédito y débito se
almacenó durante varias semanas antes de exfiltrarse, aislar esos servidores mientras se investigaban y analizaban
habría frustrado el impacto del ataque.

C. Si existiera un plan de manejo de incidentes probado, es probable que el escenario de riesgo e impacto que
ocurrió se hubiera considerado y probado y se puede suponer que se habría iniciado algún nivel de acción
preventiva.

D. Habría sido factible localizar el malware en los dispositivos POS, pero eliminarlo de decenas de miles de
dispositivos podría plantear un problema importante a menos que pudiera haberse automatizado.

Pregunta 3:

Una formación y una conciencia más sólidas sobre los posibles riesgos de seguridad de la información para informar
a todas las partes, desde los proveedores hasta la alta dirección, posicionarían mejor a la organización para
reconocer y responder a posibles eventos de riesgo. La formación de sensibilización tiene un impacto positivo en la
gestión de riesgos.

El gerente de seguridad de la información también puede querer sugerir una mejor gestión de terceros, lo que
incluye asegurarse de que los subcontratistas se adhieran a las políticas de seguridad de la información de la
organización y que se les otorgue el nivel adecuado de acceso a los sistemas.

El cumplimiento de PCI DSS sería otra sugerencia importante para ayudar a prevenir más incidentes, ya que
establecería requisitos de seguridad que la organización debería cumplir.