GARS

(Guas de Anlisis de
Riesgos de Seguridad de
Microsoft)

PRESENTADO POR:
LVAREZ, JORGE
ESPINOSA, ALEXIS
MCNAME, ALBERTO
PALACIO, RODOLFO
INTRODUCCIN A LA GUA DE ADMINISTRACIN
DE RIESGOS DE SEGURIDAD
 RETOS DEL ENTORNO

La mayora de las organizaciones

reconocen la funcin fundamental que
la tecnologa de la informacin (TI)
desempea en sus objetivos de
negocios. Pero las infraestructuras de
TI extremadamente conectadas de hoy
en da existen en un entorno que es
cada vez ms hostil: los ataques se
efectan con mayor frecuencia y
exigen un tiempo de reaccin ms
breve
UN CAMINO MEJOR

El enfoque de Microsoft para la

administracin de riesgos de seguridad
proporciona un enfoque proactivo que
puede ayudar a las organizaciones de
cualquier tamao a responder a los
requisitos que presentan estos retos del
entorno y legales. Un proceso de
administracin de riesgos de seguridad
formal permite que las empresas funcionen
de un modo ms econmico con un nivel
conocido y aceptable de riesgos de
negocios.
FUNCIN DE MICROSOFT EN LA
ADMINISTRACIN DE RIESGOS DE
SEGURIDAD
El objetivo de este esfuerzo es ofrecer una gua clara y aplicable acerca de cmo
implementar un proceso de administracin de riesgos de seguridad que
proporcione numerosas ventajas, entre las que se incluyen:
Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos
de un proceso reactivo y frustrante.
Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad.
Ayudar a los clientesa mitigarde forma eficaz los riesgos de mayor
envergadura en sus entornosen vez de aplicar recursos escasos a todos los
riesgos posibles.
CLAVES PARA EL XITO CON GARS

Patrocinio ejecutivo.
Lista bien definida de los participantes en la administracin de riesgos.
Madurez organizativa en administracin de riesgos.
Ambiente de comunicaciones abiertas.
Espritu de trabajo en equipo.
Visin holstica de la organizacin.
Autoridad de equipo de administracin de riesgos de seguridad.
ESTUDIO DE PRCTICAS DE ADMINISTRACIN DE
RIESGOS DE SEGURIDAD
 COMPARACIN DE LOS ENFOQUES DE
ADMINISTRACIN DE RIESGOS
Muchas organizaciones se han introducido
en la administracin de riesgos de
seguridad debido a la necesidad de
responder a una incidencia de seguridad
relativamente pequea.
Independientemente de cul sea la
incidencia inicial, a medida que aparecen
cada vez ms problemas relacionados con
la seguridad y comienzan a tener
repercusiones en los negocios, muchas
organizaciones sienten frustracin al tener
que responder a una crisis tras otra.
 ENFOQUE REACTIVO

Este enfoque se basa en actuar lo ms rpido posible frente

a la aparicin de un problema, y su enfoque contempla los
siguientes puntos:
Proteger la vida humana y la seguridad de las
personas
Contener el dao
Evaluar el dao
Determinar la causa del dao
Reparar el dao
Revisar las directivas de respuesta y actualizacin
 ENFOQUE PROACTIVO

La administracin de riesgos de seguridad proactiva tiene numerosas

ventajas con respecto a un enfoque reactivo. En vez de esperar a que
suceda lo peor y, a continuacin, llevar a cabo la respuesta, se minimiza la
posibilidad de que pase lo peor antes de que se produzca.
Su enfoque contempla los siguientes puntos:
identificar los activos de negocios
Determinar el dao que un ataque a un activo podra provocar a la
organizacin
Identificar las vulnerabilidades que aprovechara el ataque
Determinar el modo de minimizar el riesgo de ataque mediante la
implementacin de los controles adecuados
ENFOQUE DE ASIGNACIN DE PRIORIDADES
A RIESGOS
El proceso de administracin de riesgos de seguridad de Microsoft define
la administracin de riesgos como el esfuerzo global para administrar el
riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de
riesgos se define como el proceso de identificar y asignar prioridades a
los riesgos para la empresa.
Entre los enfoques ms utilizados tenemos:
Enfoque cuantitativo
Enfoque cualitativo
 PROCESO DE ADMINISTRACIN DE RIESGOS
DE SEGURIDAD DE MICROSOFT
El proceso de administracin de riesgos de
seguridad de Microsoft consta de cuatro
fases. La primera, la fase de evaluacin de
riesgos, combina aspectos de las
metodologas de evaluacin de riesgos
cuantitativa y cualitativa. Se utiliza un
enfoque cualitativo para clasificar
rpidamente toda la lista de riesgos de
seguridad. A continuacin, los riesgos ms
graves identificados durante esta clasificacin
se examinan ms detenidamente mediante
un enfoque cuantitativo. El resultado es una
lista relativamente corta de los riesgos ms
importantes que se han examinado con
detalle.
 INFORMACIN GENERAL ACERCA DE LA
ADMINISTRACIN DE RIESGO DE SEGURIDAD
 LAS 4 FASES DEL PROCESO DE
ADMINISTRACIN DE RIESGOS DE
1. EvaluacinSEGURIDAD DE
del riesgo: identificar MICROSOFT
y asignar prioridades a los riesgos
para la empresa
2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de
control segn un proceso definido de anlisis de costo-beneficio
3. Implementacin de controles: implementar y poner en
funcionamiento las soluciones con el fin de reducir el riesgo para la
empresa
4. Medicin de la efectividad del programa: analizar la efectividad del
proceso de administracin de riesgo y comprobar que los controles
proporcionan el nivel de proteccin previsto
NIVEL DE ESFUERZO

La perspectiva de nivel de esfuerzo puede resultar til al describir el proceso global y el

compromiso de tiempo para las organizaciones que no tienen experiencia en la
administracin de riesgos
BASES DEL PROCESO DE ADMINISTRACIN
DE RIESGO DE SEGURIDAD DE MICROSOFT
Distincin entre la administracin de riesgos y la evaluacin de riesgos
Notificacin clara del riesgo
Determinacin de la madurez de la administracin de riesgos de la
organizacin
Definicin de las funciones y responsabilidades del proceso
DIFERENCIAS ENTRE ADMINISTRACIN Y
EVALUACIN DE RIESGO
NOTIFICACIN DEL RIESGO

Las distintas personas involucradas en el proceso de administracin de

riesgos suelen definir el trminoriesgode un modo diferente. Para
garantizar la coherencia en todas las etapas del ciclo de administracin
de riesgos, el proceso de administracin de riesgos de seguridad de
Microsoft requiere que todos los participantes comprendan y acepten una
nica definicin del trmino riesgo.
DETERMINACIN DE LA MADUREZ DE LA
ADMINISTRACIN DE RIESGOS DE LA ORGANIZACIN

Antes de que una organizacin intente implementar el proceso de administracin de

riesgos de seguridad de Microsoft, es importante que examine su nivel de madurez en
lo que se refiere a la administracin de riesgos de seguridad.
Entre los niveles de madurez de la administracin de riesgos tenemos:
0. no existe
1. Ad hoc
2. Repetible
3. Proceso definido
4. Administrado
5. Optimizado
DEFINICIN DE FUNCIONES Y
RESPONSABILIDADES
EVALUACIN DEL RIESGO
La fase de evaluacin de riesgos representa un proceso formal para identificar y
asignar prioridades a los riesgos en la organizacin. El proceso de
administracin de riesgos de seguridad de Microsoft proporciona indicaciones
detalladas acerca de cmo realizar las evaluaciones de riesgos y divide el
proceso de la fase de evaluacin de riesgos en los tres pasos siguientes:
PLANEAMIENTO

El planeamiento correcto de la evaluacin de riesgos es fundamental

para el xito de todo el programa de administracin de riesgos. Si no se
llevan a cabo adecuadamente las tareas de alineacin, definicin de
mbito y obtencin de aceptacin de la fase de evaluacin de riesgos, se
reduce la eficacia de las dems fases del programa global. La
elaboracin de las evaluaciones de riesgos puede ser un proceso
complicado que requiere una inversin importante para llevarlo a cabo.
En la siguiente seccin de este captulo se tratan las tareas y las
indicaciones fundamentales para el paso de planeamiento.
RECOPILACIN DE DATOS

Entre la informacin a capturar tenemos

Activos organizativos
Descripcin de los activos
Amenazas de seguridad
Vulnerabilidades
Entorno de controles actual
Controles propuestos
ASIGNACIN DE PRIORIDADES A RIESGOS

Durante el paso de recopilacin de datos facilitados, el equipo de

administracin de riesgos de seguridad comienza por la clasificacin de
grandes cantidades de informacin recopiladas para asignar
prioridades a los riesgos. El paso de asignacin de prioridades a riesgos
es el primero de la fase que implica un elemento de subjetividad. La
asignacin de prioridades es subjetiva porque, despus de todo, el
proceso implica esencialmente la prediccin del futuro
PARTICIPANTES EN LA FASE DE EVALUACIN DE
RIESGOS
HERRAMIENTAS PROPORCIONADAS PARA LA
FASE DE EVALUACIN DE RIESGOS
Durante este proceso de evaluacin de riesgos se recopilarn datos
acerca de los riesgos y, posteriormente, se utilizarn para asignar
prioridades a los riesgos. Como ayuda para esta fase se incluyen tres
herramientas. Las encontrar en la carpeta Herramientas y plantillas
creada al desempaquetar el archivo de almacenamiento que contiene
esta gua y sus archivos relacionados.
Plantilla de recopilacin de datos
Lista de valores de activos
Plantillas de asignacin de prioridades a los riesgos
 LOS SEIS PASOS DE LA FASE DE
APOYO A LA TOMA DE DECISIONES
SON:

Estimar la
Revisar reduccin Seleccion
Definir Estimar
Seleccion las del nivel ar la
los los
ar las solucione de riesgo estrategi
requisitos costos de
solucione s segn que cada a de
funcional control cada
s de los mitigaci
es proporcion solucin.
control. requisitos n de
a.
. riesgos.
Informacin general
acerca de la fase de
apoyo a la toma de
decisiones
Por cada control propuesto, el
equipo de administracin de
riesgos de seguridad estima la
reduccin del nivel de riesgo que
se espera que el control
proporcione. Con estos
elementos de informacin, el
equipo puede llevar a cabo un
anlisis de costo-beneficio eficaz
del control para determinar si
recomienda su implementacin.
Posteriormente, el comit de
direccin de seguridad decide
los controles que se
implementarn.
 Identificacin y comparacin de controles

1 Definir los requisitos funcionales

Los requisitos funcionales se deben definir

para cada riesgo descrito en el proceso de
apoyo a la toma de decisiones; el resultado
generado se denomina "Definiciones de
requisitos funcionales". La definicin y la
responsabilidad del requisito funcional
resultan muy importantes para el proceso
de costo-beneficio. El documento definelo
quese tiene que producir para reducir el
riesgo pero no especificacmose debe
reducir ni define controles especficos.
 Identificacin y comparacin de controles

2Identificar las soluciones de control

Los responsables de mitigacin elaborar
una lista de nuevos posibles controles para
cada riesgo que cumplan los requisitos
funcionales del mismo.

Identificar los nuevos posibles controles los

organiza en tres categoras extensas:
organizativa, operativa y tecnolgica. stos
se subdividen en controles que
proporcionan prevencin, deteccin y
recuperacin, as como administracin. Los
controles preventivos se implementan para
impedir que se materialice un riesgo.
 Identificacin y comparacin de controles

3
Revisar la solucin segn los requisitos

El equipo de administracin de riesgos de

seguridad debe aprobar la solucin de
control para garantizar que el control
cumple los requisitos funcionales definidos.
Otra ventaja de la colaboracin en los
procesos de costo-beneficio reside en la
capacidad de anticipar las comprobaciones
y los balances inherentes al proceso
 Identificacin y comparacin de controles

4Estimar la reduccin del riesgo

La cantidad de reduccin de riesgo se
comparar con el costo de la solucin de
mitigacin. ste es el primer paso en el que
el importe econmico puede proporcionar
valor al anlisis de costo-beneficio. La
experiencia demuestra que la reduccin de
riesgo normalmente se estima ampliando la
probabilidad del efecto a la empresa.
 Identificacin y comparacin de controles
5 Estimar el costo de la solucin

En esta fase corresponde al responsable de

mitigacin estimar el costo relativo de cada
control propuesto. El equipo de ingeniera
de TI debe poder determinar el modo de
implementar cada control y proporcionar
estimaciones razonablemente precisas
acerca de lo que costar la adquisicin, la
implementacin
Costo de adquisiciny el mantenimiento de
cada uno.
Costo de Implementacin
Costo Continuos
Costos de Comunicaciones
Costos de Cursos para el Personal de TI

Costo de Cursos de para los usuarios

Costo para la Productividad y la Comodidad

 Identificacin y comparacin de controles

6
Seleccionar la solucin de mitigacin de riesgo

El ltimo paso en el anlisis de costo-

beneficio consiste en comparar el nivel de
riesgo despus de la solucin de mitigacin
con el costo de dicha solucin. Tanto el
riesgo como el costo contienen valores
subjetivos que son difciles de cuantificar en
trminos financieros exactos.
 FUNCIONES Y RESPONSABILIDADES EN EL
PROGRAMA DE ADMINISTRACIN DE RIESGOS
Resultados necesarios para la fase de apoyo a la toma
de decisiones
 Implementacin de controles
para reducir el riesgo
Los responsables de mitigacin, con el apoyo del equipo de
administracin de riesgos de seguridad, identifican todos los
posibles controles, calculan el costo de la implementacin de
cada control, determinan el resto de los costos relacionados con
el y evalan la reduccin del nivel de riesgo posible con cada
control.
Los controles que reduzcan con ms eficacia el riesgo para los
activos clave a un costo razonable para la organizacin son los
controles cuya implementacin el equipo recomendar con ms
entusiasmo.
Claves para el xito
Unas expectativas razonables es
fundamental si se desea que la fase de
apoyo a la toma de decisiones tenga
xito. El apoyo a la toma de decisiones
requiere aportaciones importantes de
distintos grupos que representan a toda
la empresa. Si alguno de estos grupos no
comprende o participa activamente en el
proceso, la eficacia de todo el programa
puede estar en peligro.
Implementacin de controles y
medicin de la efectividad del
programa
Implementacin de controles
Un factor de xito fundamental en esta
fase del proceso de administracin de
riesgos de seguridad de Microsoft
consiste en que los responsables de
mitigacin busquen un enfoque holstico
al implementar las soluciones de control.
Deben tener en cuenta todo el sistema
de tecnologa de la informacin (TI), toda
la unidad de negocios o, incluso, toda la
empresa al crear los planes para adquirir
e implementar soluciones de mitigacin.
Participantes en la fase de
implementacin de controles
Ingeniera de TI: determina el modo en que se
implementan las soluciones de control
Arquitectura de TI: especifica el modo en que
las soluciones de control se implementarn de una
manera compatible con los sistemas informticos
existentes
Operaciones de TI: implementa soluciones de
control tcnico
Seguridad de la informacin: contribuye a
resolver los problemas que se puedan producir
durante las pruebas y la implementacin
Finanzas: garantiza que los niveles de gasto
estn dentro de los presupuestos aprobados
Organizacin de las soluciones de control

Defensas de la red

La implementacin de defensas de red internas

incluye la consideracin del diseo de red
adecuado, la seguridad de red inalmbrica y,
posiblemente, el uso de Seguridad del protocolo
de Internet (IPSec) para garantizar que slo los
equipos de confianza tengan acceso a los
recursos de red crticos.
Organizacin de las soluciones de control

Defensas de Host

Las defensas de host pueden incluir deshabilitar

servicios, quitar derechos de usuario
especficos, mantener actualizado el sistema
operativo, as como utilizar antivirus y
productos de servidor de seguridad distribuidos.
Organizacin de las soluciones de control

Defensas de Aplicacin

La implementacin de las defensas de

aplicacin incluye una arquitectura de
aplicaciones correcta, incluida la garanta de
que la aplicacin se ejecuta con el mnimo nivel
de privilegio con la menor superficie de ataque
expuesta posible.
Organizacin de las soluciones de control

Defensas de Datos

Los datos normalmente se almacenan

localmente y pueden ser muy vulnerables a los
ataques. Los datos se pueden proteger de
diferentes maneras, incluido el uso del servicio
de archivos de cifrado (EFS) y las copias de
seguridad frecuentes y seguras.
 Medicin de la efectividad del programa
Participantes en la fase de implementacin
La fase de medicin de la de controles
Seguridad de informacin: crea informes de resumen
efectividad del programa para el comit directivo de seguridad en relacin con la
permite que el equipo de eficacia de las soluciones de control que se han
implementado y acerca de los cambios en el perfil de
administracin de riesgos riesgo de la organizacin. Adems, crea y mantiene el
de seguridad documente clculo de riesgos de seguridad de la organizacin.
formalmente el estado Auditora interna: valida la eficacia de las soluciones de
control.
actual de los riesgos de la Ingeniera de TI: comunica los cambios inminentes al
organizacin. equipo de administracin de riesgos de seguridad.
Arquitectura de TI: comunica los cambios planeados al
equipo de administracin de riesgos de seguridad.
Operaciones de TI: ofrece informacin detallada
relacionada con los sucesos de seguridad al equipo de
administracin de riesgos de seguridad.
Resultados necesarios para la fase de
apoyo a la toma de decisiones
Medicin de la efectividad de los controles

Una vez implementados los controles, resulta importante asegurarse de que

proporcionan la proteccin prevista y de que continan aplicndose.

En la evaluacin manual, un miembro del equipo de TI comprueba que se ha

aplicado cada control y que parece funcionar correctamente. sta puede ser
una tarea lenta, tediosa y propensa a errores cuando se estn comprobando
numerosos sistemas. Microsoft ha publicado una herramienta de evaluacin
de vulnerabilidades gratuita y automatizada denominadaMicrosoft Baseline
Security Analyzer (MBSA). MBSA puede analizar los sistemas locales y
remotos para determinar las revisiones de seguridad crticas que faltan, as
como otras configuraciones de seguridad importantes.
Reevaluacin de los riesgos de seguridad y los activos nuevos y cambiados

La reevaluacin peridica del entorno segn el proceso descrito en el

captulo 4, "Evaluacin del riesgo", es el primer paso para volver a
comenzar el ciclo. Puede parecer evidente, pero el equipo de
administracin de riesgos de seguridad debe reutilizar y actualizar las
listas de activos, vulnerabilidades, controles y otra propiedad
intelectual que se hayan desarrollado durante el proyecto de
administracin de riesgos inicial.
APNDICE A: EVALUACIONES DE RIESGOS AD
HOC
En el proceso de administracin de riesgos de seguridad de Microsoft se describe la fase de
evaluacin de riesgo como una actividad programada dentro del proceso de administracin
de riesgos. La fase de evaluacin de riesgos define los pasos para identificar y asignar
prioridades a los escenarios de riesgos conocidos para la organizacin.
El resultado es una lista de riesgos con prioridades tanto en el nivel de resumen como en el
de detalle. La evaluacin de riesgos programada tambin proporciona los datos para las
fases restantes del programa de administracin de riesgos.
Los riesgos en la empresa cambian y evolucionan continuamente como una parte normal
del negocio. Por lo tanto, el equipo de administracin de riesgos de seguridad necesita un
proceso definido para identificar y analizar los riesgos independientemente de la fase del
ciclo de administracin de riesgos.
 En el proceso de administracin de riesgos de seguridad de Microsoft
se han evaluado varios escenarios de riesgos y, a continuacin, se les
han asignado prioridades. En la evaluacin de riesgos ad hoc, los
riesgos se analizan caso por caso. Una evaluacin de riesgos ad hoc se
centra en un solo problema de riesgo; por ejemplo, "cules son los
riesgos asociados al proporcionar a los invitados de la empresa acceso
inalmbrico a la red?" o "qu riesgos se corren al permitir que los
dispositivos mviles se conecten a los recursos empresariales?.
La evaluacin de riesgos ad hoc se puede
comunicar en un documento estructurado con las
siguientes secciones:
Resumen ejecutivo. Este resumen debe incluir
toda la evaluacin y se debe poder extraer de la
evaluacin de riesgos como un documento
independiente.
Lista de supuestos relativos al alcance y los
objetivos de la evaluacin de riesgos ad hoc.
Una descripcin del activo que se proteger y su
valor para la empresa.
Una declaracin adecuada, segn lo descrito en el
proceso de administracin de riesgos de seguridad
de Microsoft, que responda a las siguientes
preguntas:
Qu se desea evitar que le suceda al activo?
Cmo se puede producir la prdida o exposicin?
Cul es el alcance de la exposicin potencial para
el activo?
Qu se est haciendo en la actualidad para
minimizar la probabilidad de que se produzca el
riesgo o para reducir el impacto si fallan las medidas
de proteccin?
Cul es el riesgo global? Incluya una afirmacin
como "Hay una alta probabilidad de que el ataque
consiga poner en peligro la integridad de los activos
digitales de valor medio, lo que representa un riesgo
alto para la organizacin".
Cules son las acciones que podran reducir la
probabilidad en el futuro?
Cul es el riesgo global si se implementan los
controles posibles?
 Apndice B: activos comunes del sistema de
En informacin
este apndice se enumeran los activos del sistema de informacin que se
encuentran habitualmente en organizaciones de varios tipos.

Clase de activo Entorno de TI Nombre del Clasificacin de

global activo activo
Tangible Infraestructura Centros de datos 5
fsica
Tangible Infraestructura Sistemas de aire 3
fsica acondicionado
Tangible Datos de Cdigo fuente 5
intranet
Tangible Datos de Datos recursos 5
intranet humanos
Intangible Reputacin 5
Intangible Buena voluntad 3
Servicios de TI Infraestructura Uso compartido 3
bsica de archivos
APNDICE C: AMENAZAS COMUNES

En este apndice se enumeran las amenazas que probablemente pueden

afectar a una amplia gama de organizaciones.

Amenaza Ejemplo
Incidencia catastrfica Incendio
Error mecnico Corte del suministro elctrico
Persona benigna Empleado desinformado
Persona malintencionada Criminal informtico
Persona malintencionada Espionaje industrial
 APNDICE D: VULNERABILIDADES
En este apndice se enumeran las vulnerabilidades que probablemente
pueden afectar a una amplia gama de organizaciones.
Clase de Vulnerabilidad Ejemplo
vulnerabilidad
Fsica Acceso no protegido a
las instalaciones
informticas
Natural Instalacin situada en
una zona de
inundaciones
Hardware Sistemas sin proteger
fsicamente
Software Software antivirus
obsoleto
Humana Procedimientos Pruebas en sistemas
definidos de produccin
deficientemente
MUCHAS GRACIAS!