Chapter 2

Security and Risk

Management
PERSONNEL
Chapter 2 – Parte 2 de 2
Identify Threats and Vulnerabilities

 Una parte esencial de la gestión de riesgos es identificar y examinar

las amenazas.
 Esto implica la creación de una lista exhaustiva de todas las
posibles amenazas para los activos identificados de la
organización.
 La lista debe incluir agentes de amenaza, así como eventos de
amenaza.
 Es importante tener en cuenta que las amenazas pueden venir de
cualquier parte.
 Las amenazas a la TI no se limitan a TI fuentes.
Identify Threats and Vulnerabilities
Al definir la lista de amenazas, considere las siguientes:  Processing errors, buffer overflows

 Viruses  Personnel privilege abuse

 Cascade errors (a series of escalating errors) and dependency faults  Temperature extremes
(caused by relying on events or items that don’t exist)
 Energy anomalies (static, EM pulses, radio frequencies [RFs], power
 Criminal activities by authorized users loss, power surges, and so on)

 Movement (vibrations, jarring, etc.)  Loss of data

 Intentional attacks  Information warfare

 Reorganization  Bankruptcy or alteration/interruption of business activity

 Authorized user illness or epidemics  Coding/programming errors

 Malicious hackers  Intruders (physical and logical)

 Disgruntled employees  Environmental factors (presence of gases, liquids, organisms, and so

on)
 User errors
 Equipment failure
 Natural disasters (earthquakes, floods, fire, volcanoes, hurricanes,
tornadoes, tsunamis, and so on)  Physical theft

 Physical damage (crushing, projectiles, cable severing, and so on)  Social engineering

 Misuse of data, resources, or services

 Changes or compromises to data classification or security policies
 Government, political, or military intrusions or restrictions
Identify Threats and Vulnerabilities

 En la mayoría de los casos, un equipo en lugar de un solo individuo

debe realizar la evaluación y análisis de riesgos.
 Los miembros del equipo deben ser de diferentes departamentos
dentro de la organización.
 No es por lo general un requisito de que todos los miembros del
equipo de seguridad sean profesionales de seguridad o
administradores de red / sistema.
 La diversidad del equipo debido a la composición de la
organización ayudará a identificar de manera exhaustiva y hacer
frente a todas las amenazas y los riesgos posibles.
The Consultant Cavalry

 La evaluación de riesgos es un proceso muy complicado, detallado,

complejo y largo.
 A menudo, el análisis de riesgos no se puedan llevar a cabo por
trabajadores de la empresa, debido a la magnitud, el alcance, o la
responsabilidad del riesgo; por lo tanto, muchas organizaciones
recurren a consultores de gestión de riesgos para llevar a cabo este
trabajo.
 Esto proporciona un alto nivel de experiencia, y puede ser una medida
más fiable del riesgo en el mundo real.
 Los consultores de gestión de riesgos no llevan a cabo la evaluación
de riesgos y el análisis sólo en papel; emplean un software complejo y
costoso de evaluación de riesgos.
 Este software agiliza la tarea general, proporciona resultados más
fiables, y produce informes estandarizados que sean aceptables para
las compañías de seguros, los consejos de administración, y otros.
Risk Assessment/Analysis

 La gestión y analisis de riesgos es un ejercicio para la alta dirección.

 Es su responsabilidad iniciar el análisis de riesgos y la evaluación
mediante la definición del alcance y propósito de la empresa.
 Los procesos reales de la realización de análisis de riesgo a menudo
se delegan a los profesionales de seguridad o un equipo de
evaluación.
 Sin embargo, todas las evaluaciones de riesgo, los resultados, las
decisiones y los resultados deben ser entendidos y aprobados por la
alta dirección como un elemento para asegurar la debida
atención.
Risk Assessment/Analysis

 Todos los sistemas de TI tienen riesgo. No hay manera de eliminar el

100 por ciento de todos los riesgos.
 En su lugar, la alta dirección debe decidir qué riesgos son
aceptables y cuáles no lo son.
 La determinación de qué riesgos son aceptables requiere
evaluaciones detalladas y complejas de activos y de riesgo.
 Una vez que se desarrolla una lista de amenazas, debe evaluarse
individualmente cada amenaza y el riesgo relacionado.
Risk Assessment/Analysis

 Hay dos métodos de evaluación de riesgos: cuantitativo y cualitativo.

 El análisis cuantitativo de riesgos asigna cifras reales de dólares a la pérdida
de un activo.
 El análisis de riesgos cualitativa asigna valores subjetivos e intangibles a la
pérdida de un activo.
 Ambos métodos son necesarios para un análisis de riesgo completo.
 La mayoría de los entornos emplean un híbrido de ambas metodologías de
evaluación de riesgos con el fin de obtener una visión equilibrada de sus
problemas de seguridad.
Risk Assessment/Analysis:
Quantitative Risk Analysis
 El método cuantitativo se traduce en porcentajes de probabilidad.
 Eso significa que el resultado final es un informe que tiene las cifras
en dólares para los niveles de riesgo, pérdida potencial, el costo de
las contramedidas, y el valor de los safeguards.
 El proceso de análisis de riesgo cuantitativo se inicia con la
valoración de activos y la identificación de amenazas.
 A continuación, se estima el potencial y la frecuencia de cada
riesgo.
 Esta información se utiliza entonces para calcular diversas funciones
de coste que se utilizan para evaluar salvaguardias.
Risk Assessment/Analysis:
Quantitative Risk Analysis
Los 6 pasos principales del análisis de riesgos son los siguientes:
 Inventory assets, and assign a value (asset value, or AV). (Asset value is detailed
further in a later section of this chapter named “Asset Valuation.”)
 Research each asset, and produce a list of all possible threats of each individual
asset. For each listed threat, calculate the exposure factor (EF) and single loss
expectancy (SLE).
 Perform a threat analysis to calculate the likelihood of each threat being realized
within a single year—that is, the annualized rate of occurrence (ARO).
 Derive the overall loss potential per threat by calculating the annualized loss
expectancy (ALE).
 Research countermeasures for each threat, and then calculate the changes to
ARO and ALE based on an applied countermeasure.
 Perform a cost/benefit analysis of each countermeasure for each threat for each
asset. Select the most appropriate response to each threat.
Risk Assessment/Analysis:
Quantitative Risk Analysis
Risk Assessment/Analysis:
Exposure Factor
 Representa el porcentaje de pérdida que una organización experimentaría si
un activo específico se violó por un riesgo ejecutado.
 El EF también puede ser llamado loss potential. En la mayoría de los casos, un
riesgo ejecutado no da como resultado la pérdida total de un activo.
 El EF indica la pérdida de valor de activos, debido a un único riesgo
ejecutado.
 La EF es generalmente pequeña en activos que son fácilmente
reemplazables, tales como hardware.
 Puede ser muy grande para los activos que son insustituibles o de propiedad,
tales como el diseño de productos o una base de datos de clientes.
 La EF se expresa como un porcentaje.
Risk Assessment/Analysis:
Single Loss Expectancy
 Se necesita la EF para calcular el SLE.
 La expectativa de pérdida simple (SLE) es el coste asociado a un único riesgo realizado
sobre un bien determinado.
 Indica la cantidad exacta de la pérdida que una organización experimentaría si un activo
se ve perjudicado por una amenaza específica que se produzca.
 El SLE se calcula utilizando la siguiente fórmula:

LES = valor del activo (AV) * factor de exposición (EF)

o, más sencillamente:
LES = AV * EF
 El LES se expresa en un valor en dólares.
 Por ejemplo, si un activo tiene un valor de $200.000 y tiene una EF del 45 por ciento para
una amenaza específica, entonces el SLE de la amenaza para ese activo es $90.000.
Risk Assessment/Analysis:
Annualized Rate of Occurrence
 Es la frecuencia con la que se espera se producirá una amenaza o
riesgo específico en un solo año.
 El ARO puede variar desde un valor de 0,0 (cero), lo que indica que la
amenaza o el riesgo no se realizarán, a un número muy grande, lo que
indica que la amenaza o el riesgo se produce a menudo.
 El cálculo de la ARO puede ser complicado. Se puede obtener de los
archivos históricos, análisis estadístico, o conjeturas.
 El cálculo ARO también se conoce como la determinación de la
probabilidad. El ARO para algunas amenazas o riesgos se calcula
multiplicando la probabilidad de una sola aparición por el número de
usuarios que pueden iniciar la amenaza.
 Por ejemplo, la frecuencia anual de un terremoto en Tulsa puede ser
0,00001, mientras que la frecuencia anual de un virus de correo
electrónico en una oficina en Tulsa puede ser 10.000.000.
Risk Assessment/Analysis:
Annualized Loss Expectancy
 La expectativa de pérdida anualizada (ALE) es el posible costo anual
de todas las instancias de una amenaza específica contra un activo
específico.
La ALE se calcula utilizando la siguiente fórmula:

ALE = sola expectativa de pérdida (SLE) * tasa anual de ocurrencia (ARO)

O, más sencillamente:
ALE = SLE * ARO
 Por ejemplo, si el LES de un activo es de $ 90.000 y el ARO para una
amenaza específica (como la pérdida de potencia total) es 0,5,
entonces la ALE es $ 45.000. Por otro lado, si el ARO para una amenaza
específica (como la cuenta de usuario comprometido) fue 15,
entonces el ALE sería $ 1.350.000.
Risk Assessment/Analysis:
Calculating Annualized Loss Expectancy with a Safeguard

 Además de determinar el costo anual de la salvaguardia, debe

calcular la ALE para el activo si se aplica la salvaguardia. Esto
requiere un nuevo EF y ARO para la salvaguardia.
 En la mayoría de los casos, la EF para un activo sigue siendo el
mismo, incluso con una salvaguardia aplicada.
 Si usted tiene una armadura corporal, pero la armadura no logra
evitar una bala en su corazón, usted todavía está experimentando
el mismo daño que se habría producido sin la armadura.
 Por lo tanto, si falla la salvaguardia, la pérdida del activo es
generalmente el mismo que cuando no hay ninguna garantía.
Risk Assessment/Analysis:
Calculating Annualized Loss Expectancy with a Safeguard

 Sin embargo, algunas garantías reducen el daño resultante, incluso cuando no

pueden detener totalmente un ataque.
 Por ejemplo, aunque un incendio podría ocurrir y el activo ser dañado por el
fuego y el agua de los aspersores, el daño total es probable que sea menor
que tener todo el edificio quemado.
 Incluso si el EF sigue siendo el mismo, una salvaguardia cambia la ARO.
 El objetivo de una salvaguardia es reducir la frecuencia anual. En otras
palabras, una salvaguardia debería reducir el número de veces que un ataque
tenga éxito en causar daño a un activo.
Risk Assessment/Analysis:
Calculating Annualized Loss Expectancy with a Safeguard

 La mejor de todas las garantías posibles reduciría la frecuencia anual a cero.

Aunque hay algunas salvaguardias perfectas, la mayoría no lo son. Por lo
tanto, muchas salvaguardas tienen un ARO aplicada que es más pequeño
pero no es a menudo cero. Con el nuevo ARO (y posible nuevo EF), un nuevo
ALE se calcula.
 Con la pre-ALE de salvaguardia y la post-ALE de salvaguardia calculada,
debe calcularse el costo anual de la salvaguardia.
Risk Assessment/Analysis:
Calculating Safeguard Costs

 Para cada riesgo específico, debe evaluar una o más salvaguardas, o

contramedidas, sobre una base de costo / beneficio.
 Para realizar esta evaluación, se debe realizar primero una lista de
salvaguardias para cada amenaza.
 A continuación, se asigna a cada salvaguarda un valor de despliegue.
De hecho, se debe medir el valor de despliegue o el costo de la
salvaguardia contra el valor del activo protegido.
 El valor del bien protegido, por tanto, determina los gastos máximos de
los mecanismos de protección. Seguridad debe ser rentable, por lo
que no es prudente gastar más (en términos de dinero o recursos) en la
protección de un activo que su valor a la organización.
 Si el costo de la contramedida es mayor que el valor del activo
entonces usted debe aceptar el riesgo.
Risk Assessment/Analysis:
Calculating Safeguard Costs

Numerosos factores están implicados en el cálculo del valor de una

contramedida:
 Cost of purchase, development, and licensing
 Cost of implementation and customization
 Cost of annual operation, maintenance, administration, and so on
 Cost of annual repairs and upgrades
 Productivity improvement or loss
 Changes to environment
 Cost of testing and evaluation
Risk Assessment/Analysis:
Calculating Safeguard Cost/Benefit

 Uno de los cómputos finales en este proceso es el cálculo de costo

/ beneficio para determinar si una salvaguarda en realidad mejora
la seguridad sin que cueste demasiado.
 Utilizar la siguiente fórmula:
ALE antes de salvaguardia - ALE después de la aplicación de la
salvaguardia - costo anual de salvaguardia (ACS) = valor de la
salvaguardia de la empresa.
 Si el resultado es negativo, la salvaguardia no es una opción
económicamente responsable.
 Si el resultado es positivo, entonces ese valor es el ahorro anual que
su organización puede cosechar mediante el despliegue de la
salvaguardia porque la tasa de ocurrencia no es una garantía de
que se produzca.
Risk Assessment/Analysis:
Calculating Safeguard Cost/Benefit

 El ahorro anual o la pérdida de una salvaguardia no deben ser la única consideración en

la evaluación de las salvaguardias. También debe considerar las cuestiones de
responsabilidad jurídica y el cuidado prudente.
 En algunos casos, tiene más sentido perder dinero en el despliegue de una salvaguardia
que correr el riesgo de responsabilidad legal.
 Para llevar a cabo el análisis de costo / beneficio de una salvaguardia, debe calcular los
tres elementos siguientes:
La ALE pre-contramedida para un emparejamiento de activos y amenazas
La ALE post-contramedida para un emparejamiento de activos y amenazas
El ACS
Con esos elementos, puede obtener un valor para la fórmula de costo / beneficio de esta
protección específica contra un riesgo específico sobre un activo específico:
(ALE pre-contramedida - post-contramedida ALE) – ACS
O, aún más simple:
(ALE1 - ALE2) – ACS
Risk Assessment/Analysis:
Fórmulas

Concept Formula
Exposure factor (EF) %
Single loss expectancy (SLE) SLE = AV * EF
Annualized rate of occurrence (ARO) # / year
Annualized loss expectancy (ALE) ALE = SLE * ARO or ALE = AV * EF * ARO
Annual cost of the safeguard (ACS) $ / year
Value or benefit of a safeguard (ALE1 – ALE2) – ACS
Risk Assessment/Analysis:
Qualitative Risk Analysis
 En lugar de asignar cifras exactas de dólares a las posibles
pérdidas, se clasifican las amenazas en una escala para evaluar sus
riesgos, costos y efectos.
 El método de combinar el análisis cuantitativo y cualitativo en la
evaluación final del riesgo de la organización se conoce como
evaluación o análisis híbrido.
 El proceso de realización de análisis de riesgos cualitativo implica
un juicio, la intuición y experiencia.
Risk Assessment/Analysis:
Qualitative Risk Analysis
Puede utilizar muchas técnicas para realizar análisis de riesgos cualitativa:
 Brainstorming
 Delphi technique
 Storyboarding
 Focus groups
 Surveys
 Questionnaires
 Checklists
 One-on-one meetings
 Interviews
Risk Assessment/Analysis:
Qualitative Risk Analysis
 La determinación de qué mecanismo emplear, se basa en la
cultura de la organización y los tipos de riesgos y activos
involucrados.
 Es común que varios métodos han de emplearse al mismo tiempo y
sus resultados comparados y contrastados en el informe final de
análisis de riesgos para la alta dirección.
Risk Assessment/Analysis:
Qualitative Risk Analysis - Escenarios
 El proceso básico para todos estos mecanismos consiste en la creación de
escenarios.
 Un escenario es una descripción escrita de una sola amenaza importante.
 La descripción se centra en la forma en que se promovió una amenaza y los
efectos que su ocurrencia podría tener en la organización, la infraestructura de
TI y activos específicos.
 En general, los escenarios están limitadas a una página de texto para
mantenerlos manejable.
 Para cada escenario, uno o más garantías se describen que protejan por
completo o parcialmente, contra la mayor amenaza discutida en el escenario.
 Los participantes del análisis, deben asignar al escenario, un nivel de amenaza,
una pérdida potencial y las ventajas de cada una de las salvaguardas.
 Las respuestas de todos los participantes se compilan en un único informe que
se presenta a la alta dirección.
Risk Assessment/Analysis:
Qualitative Risk Analysis - Escenarios
Risk Assessment/Analysis:
Qualitative Risk Analysis - Escenarios
Risk Assessment/Analysis:
Qualitative Risk Analysis - Escenarios
 La utilidad y la validez de un análisis cualitativo del riesgo mejora a
medida que el número y la diversidad de los participantes
aumenta.
 Siempre que sea posible, se debe incluir una o más personas de
cada nivel de la jerarquía de la organización, desde la alta
dirección hasta el usuario final.
 También es importante incluir una sección transversal de cada gran
departamento, división, oficina o sucursal.
Risk Assessment/Analysis:
Qualitative Risk Analysis - Delphi
 La técnica Delphi es un proceso de retroalimentación y respuesta
anónimo utilizado para permitir que un grupo llegue a un consenso
anónimo.
 Su objetivo principal es obtener respuestas honestas y sin la
influencia del resto de los participantes.
 Los participantes se reunen por lo general en una sola sala de
reuniones. Para cada solicitud de comentarios, cada participante
escribe su respuesta en el papel de forma anónima.
 Los resultados se compilan y se presentan al grupo para su
evaluación.
 El proceso se repite hasta que se alcance un consenso.
Risk Assessment/Analysis:
Comparación de Mecanismos
 Tanto los mecanismos de análisis de riesgos cuantitativos y cualitativos ofrecen
resultados útiles. Sin embargo, cada técnica consiste en un método único de
evaluación del mismo conjunto de activos y riesgos.
 Se requiere que se utilicen ambos métodos.
 La Tabla describe las ventajas y desventajas de estos dos sistemas.

Characteristic Qualitative Quantitative

Employs complex functions No Yes
Uses cost/benefit analysis No Yes
Results in specific values No Yes
Requires guesswork Yes No
Supports automation No Yes
Involves a high volume of information No Yes
Is objective No Yes
Uses opinions Yes No
Requires significant time and effort No Yes
Offers useful and meaningful results Yes Yes
Risk Assignment/Acceptance

El análisis de riesgos entrega múltiples resultados útiles:

 Una valoración completa y detallada de todos los activos.
 Una lista exhaustiva de todas las amenazas y riesgos, la tasa de
ocurrencia, y grado de pérdida si se ejecuta el riesgo.
 Una lista de control de seguridad y contramedidas a cada
amenaza que identifica su eficacia y ALE
 Un análisis de costo / beneficio de cada salvaguardia
Risk Assignment/Acceptance

 Esta información es esencial para la gestión y para tomar decisiones

inteligentes acerca de la implementación de las salvaguardias y las
alteraciones de la política de seguridad.
 Una vez que el análisis de riesgos se ha completado, la administración
debe abordar cada riesgo específico.
 Hay cuatro posibles respuestas a los riesgos:

• Reducir o mitigar
• Asignar o transferir
• Aceptar
• Rechazar o ignorar
Risk Assignment/Acceptance
Mitigación del riesgo
 Es la aplicación de las salvaguardias para eliminar las vulnerabilidades.
 Seleccionar la contramedida más rentable es parte de la gestión del riesgo,
pero no es un elemento de la evaluación de riesgos.
 La selección de la contramedida es una actividad posterior a la evaluación
del riesgo.
 Otra variación potencial de mitigación de riesgos es la evitación de riesgos. El
riesgo se evita mediante la eliminación de la causa del riesgo.
 Un ejemplo es la extracción del protocolo FTP desde un servidor FTP para
evitar ataques, y un ejemplo más extenso es mover a una localización interior
para evitar los riesgos de huracanes.
Risk Assignment/Acceptance
Risk Assignment
 Asignación de riesgo o la transferencia de riesgo, es la colocación
del costo que una pérdida representa, sobre otra entidad u
organización.
 La compra de un seguro y la externalización son formas comunes
de la asignación o transferencia de riesgo.
Risk Assignment/Acceptance
Risk Acceptance
 La aceptación del riesgo, es la valoración de la gestión del análisis de coste /
beneficio de las posibles salvaguardias y la determinación de que el costo de la
contramedida es mucho más importante que el posible costo de pérdida debido
a un riesgo.
 También significa que la administración ha acordado aceptar las consecuencias
y la pérdida si se realiza el riesgo.
 En la mayoría de los casos, la aceptación del riesgo requiere un comunicado
claramente por escrito que indica por qué una salvaguardia no se puso en
práctica, quién es el responsable de la decisión, y quién será el responsable de la
pérdida si se realiza el riesgo.
 La tolerancia al riesgo es la capacidad de una organización para absorber las
pérdidas asociadas con riesgos realizadas.
 Esto también se conoce como tolerancia al riesgo o propensión al riesgo.
Risk Assignment/Acceptance
Risk Rejection
 Una respuesta final, pero inaceptable, es rechazar o ignorar los
riesgos.
 Negar que existe un riesgo con la esperanza de que nunca se
ejecute, no es una respuesta válido o prudente.
Risk Assignment/Acceptance

 Una vez que se implementan contramedidas, el riesgo que queda

se conoce como riesgo residual.
 El riesgo residual comprende amenazas a los activos específicos
contra el cual la alta dirección decide no aplicar una salvaguardia.
 Es el riesgo de que la administración ha optado por aceptar en
lugar de mitigar.
 En la mayoría de los casos, la presencia de riesgo residual indica
que el análisis de costo / beneficio mostró que las salvaguardias
disponibles no son rentables.
 Riesgo total es la cantidad de riesgo a la que una organización se
enfrentaría si no se adoptan las salvaguardias.
Risk Assignment/Acceptance

 Una fórmula para el riesgo total es la siguiente:

threats * vulnerabilities * asset value = total risk
El * no implica la multiplicación, sino una función de combinación, por lo que no es
una verdadera fórmula matemática.
 La diferencia entre el riesgo total y el riesgo residual se conoce como la
brecha de controles, es la cantidad de riesgo que se reduce mediante la
aplicación de salvaguardias.
 Una fórmula para el riesgo residual es el siguiente:
total risk – controls gap = residual risk
Risk Assignment/Acceptance

 Al igual que con la gestión del riesgo en general, el manejo de riesgos no

es un proceso de una sola vez de aplicación. En su lugar, la seguridad
debe ser mantenida y reafirmada continuamente.
 Repetir el proceso de evaluación y análisis de riesgos es un mecanismo
para evaluar la integridad y la eficacia del programa de seguridad con
el tiempo.
 Ayuda a localizar las deficiencias y las zonas donde se ha producido el
cambio. Debido a los cambios de seguridad a través del tiempo, volver
a evaluar de forma periódica es esencial para mantener una seguridad
razonable.
Countermeasure Selection and
Assessment
 La selección de una contramedida dentro del ámbito de la gestión
de riesgos se basa en gran medida en los resultados de los análisis
de coste / beneficio.
 Sin embargo, se debe considerar varios otros factores al evaluar el
valor o pertinencia de un control de seguridad:
Countermeasure Selection and
Assessment
 El costo de la contramedida debería ser menor comprobable y verificable.
que el valor del activo.
 La contramedida debe proporcionar una
 El costo de la contramedida debería ser menor protección consistente y uniforme a través de
que el beneficio de la contramedida. todos los usuarios, sistemas, protocolos, etc.
 El resultado de aplicar una contramedida debe  La contramedida debería tener pocas o ninguna
hacer que el costo de un ataque para el dependencia para reducir fallos en cascada.
atacante, sea mayor que el beneficio que
obtendrá.  La contramedida debería requerir una mínima
intervención humana después de la
 La contramedida debería proporcionar una implementación y configuración inicial.
solución a un problema real e identificado.
 La contramedida debe ser a prueba de
 El beneficio de la contramedida no debe ser manipulaciones.
dependiente de su secreto. Esto significa que la
"seguridad por oscuridad" no es una  La contramedida debería tener anulaciones
contramedida viable y que cualquier accesibles solamente a los operadores
contramedida viable debe soportar la revelación privilegiados.
pública y el escrutinio.  La contramedida debe ser a prueba de fallos.
 El beneficio de la contramedida debe ser
Implementation

 Los controles de seguridad, las contramedidas, y las garantías

pueden ser implementadas de forma administrativa, lógica /
técnicamente, o físicamente.
 Estas tres categorías de mecanismos de seguridad deben aplicarse
de forma defense-in-depth con el fin de proporcionar el máximo
beneficio.
Implementation
Implementation
Técnico
 El acceso técnico o lógico consiste en los mecanismos de hardware o
software utilizados para gestionar el acceso y para proporcionar protección
a los recursos y sistemas. Como su nombre indica, se utiliza la tecnología.
 Ejemplos de controles de acceso lógico o técnicas incluyen métodos de
autenticación (por ejemplo, nombres de usuario, contraseñas, tarjetas
inteligentes, biometría), y el cifrado, interfaces restringidas, listas de control
de acceso, protocolos, cortafuegos, routers, sistemas de detección de
intrusiones (IDS), y los niveles de recorte.
Implementation
Administrativo
 Controles de acceso administrativos son las políticas y
procedimientos definidos por la política de seguridad de una
organización y otros reglamentos o requisitos. Se conocen en
ocasiones como los controles de gestión.
 Estos controles se centran en el personal y las prácticas
comerciales.
 Ejemplos de controles de acceso administrativos incluyen las
políticas, procedimientos, prácticas de contratación, verificación
de antecedentes, clasificaciones de datos, etiquetado y
concienciación sobre la seguridad y los esfuerzos de capacitación,
la historia de vacaciones, informes y opiniones, dirección de obra,
control de personal, y las pruebas.
Implementation
Físico
 Controles de acceso físico son elementos que se pueden tocar
físicamente.
 Incluyen mecanismos físicos desplegados para prevenir, controlar o
detectar el contacto directo con los sistemas o áreas dentro de
una instalación.
 Ejemplos de controles de acceso físico incluyen guardias, vallas,
detectores de movimiento, las puertas cerradas, ventanas selladas,
las luces, la protección del cable, cerraduras portátiles, insignias,
tarjetas magnéticas, perros de vigilancia, cámaras de vídeo,
esclusas y alarmas.
Types of Controls

 El control de acceso se refiere a una amplia gama de controles que realizan

tareas tales como asegurar que sólo los usuarios autorizados pueden iniciar
sesión y evitar que los usuarios no autorizados puedan acceder a los recursos.
 Estos controles mitigan una amplia variedad de riesgos de seguridad de la
información.
 Siempre que sea posible, intentan evitar cualquier tipo de problema o
incidente de seguridad.
 Cuando no es posible, se requiere detectar los eventos tan pronto como sea
posible.
 Una vez que se detecta un evento, debe ser corregirlo.
Types of Controls
Deterrent
 Un control de acceso de disuasión se despliega para desalentar la
violación de las políticas de seguridad.
 Los controles disuasivos y preventivos son similares, pero los
controles de disuasión a menudo dependen de las personas que
deciden no tomar una acción no deseada.
 Por el contrario, un control preventivo en realidad bloquea la
acción.
 Algunos ejemplos incluyen las políticas de seguridad, formación-
sensibilización, cerraduras, cercas, tarjetas de seguridad, guardias,
esclusas y cámaras de seguridad.
Types of Controls
Preventive
 Un control de acceso se implementa de forma preventiva para
impedir o detener la actividad no deseada o no autorizada.
 Ejemplos de controles de acceso preventivos incluyen vallas,
cerraduras, biometría, esclusas, iluminación, sistemas de alarma, la
separación de funciones, la rotación de puestos, la clasificación de
datos, pruebas de penetración, los métodos de control de acceso,
encriptación, auditoría, la presencia de las cámaras de seguridad o
CCTV, tarjetas inteligentes, procedimientos de devolución de
llamada, políticas de seguridad, entrenamiento de seguridad-
conciencia, software antivirus, cortafuegos y sistemas de
prevención de intrusiones (IPS).
Types of Controls
Detective
 Un control de detección de acceso se implementa para descubrir
o detectar la actividad no deseada o no autorizada.
 Los controles de detección funcionan después de los hechos y
pueden descubrir la actividad sólo después de que haya ocurrido.
 Ejemplos incluyen guardias de seguridad, detectores de
movimiento, registro y la revisión de los eventos capturados por las
cámaras de seguridad o de circuito cerrado de televisión, la
rotación de trabajo, vacaciones obligatorias, pistas de auditoría,
sistemas trampa o redes trampa, IDS, informes de violación, la
supervisión y las revisiones de los usuarios, y las investigaciones de
los incidentes.
Types of Controls
Compensating
 Un control de acceso de compensación se implementa para
proporcionar varias opciones a otros controles existentes para
ayudar en la ejecución y el apoyo de las políticas de seguridad.
 Pueden ser de cualquier tipo de control.
 Por ejemplo, una política organizacional puede dictar que toda
información de identificación personal debe estar encriptada.
 Una revisión descubre que un control preventivo se codifica todos
los datos en bases de datos de PII, pero PII transfiere a través de la
red en texto plano.
 Un control de compensación se puede añadir para proteger los
datos en tránsito.
Types of Controls
Corrective
 Un control de acceso correctivo modifica el entorno para volver a la
normalidad los sistemas después de que se ha producido una
actividad no deseada o no autorizada.
 Se intenta corregir los problemas que se produjeron como resultado de
un incidente de seguridad.
 Los controles correctivos pueden ser simples, como la terminación de
las actividades maliciosas o reiniciar un sistema.
 También incluyen soluciones antivirus que pueden quitar o poner en
cuarentena un virus, copia de seguridad y restauración de los planes
para garantizar que los datos perdidos pueden ser restaurados.
 El control de acceso se despliega para reparar o restaurar los recursos,
funciones y capacidades después de una violación de las políticas de
seguridad.
Types of Controls
Recovery
 Los controles de recuperación son una extensión de los controles
correctivos, pero tienen más habilidades avanzadas o complejas.
 Ejemplos de controles de acceso de recuperación incluyen
backups and restores, fault-tolerant drive systems, system imaging,
server clustering, antivirus software, and database or virtual
machine shadowing.
Types of Controls
Directive
 Una directiva de control de acceso se despliega para dirigir, limitar
o controlar las acciones de los sujetos a la fuerza o fomentar el
cumplimiento de las políticas de seguridad.
 Ejemplos de controles de acceso por directivas incluyen requisitos o
criterios de la política de seguridad, publicación de notificaciones,
señalización del camino de salida, monitoreo, supervisión y
procedimientos.
Monitoring and Measurement

 Los controles de seguridad deben proporcionar beneficios que pueden ser

monitoreados y medidos.
 Si los beneficios de un control de seguridad no se pueden cuantificar, evaluar,
o se pueden comparar, entonces en realidad no ofrece ninguna seguridad.
 Un control de seguridad puede proporcionar la supervisión nativa o interna, o
podría ser necesaria la supervisión externa.
 Usted debe tener esto en cuenta a la hora de realizar las selecciones iniciales
de contramedidas.
 La medición de la eficacia de una contramedida no siempre es un valor
absoluto.
 Muchas contramedidas ofrecen grados de mejora en lugar de cifras concretas
específicas en cuanto al número de infracciones impedidas o intentos de
ataques frustrados.
 Los beneficios sólo se pueden medir con precisión si el punto de partida (es
decir, el punto normal o nivel de riesgo inicial) se conoce.
Asset Valuation

 El objetivo de la valoración de activos es asignar a un activo de un

valor específico en dólares que abarca los costos tangibles, así
como los intangibles.
 La determinación de un valor exacto es a menudo difícil, si no
imposible, pero sin embargo, se debe establecer un valor
específico
 La siguiente lista incluye algunos de los problemas tangibles e
intangibles que contribuyen a la valoración de los activos:
Asset Valuation

 Purchase cost  Market valuation (sustainable price)

 Development cost  Replacement cost
 Administrative or management cost  Productivity enhancement or
 Maintenance or upkeep cost degradation

 Cost in acquiring asset  Operational costs of asset presence

and loss
 Cost to protect or sustain asset
 Liability of asset loss
 Value to owners and users
 Usefulness
 Value to competitors
 Intellectual property or equity value
Asset Valuation
 Sirve de base para la realización de un análisis de costo / beneficio de la
protección de activos a través de la implementación de salvaguardia.
 Sirve como un medio para seleccionar o evaluar salvaguardias y
contramedidas.
 Proporciona los valores a efectos del seguro y establece un valor neto total
y el valor neto de la organización.
 Ayuda a la alta dirección entender lo que está en riesgo dentro de la
organización.
 Comprender el valor de los activos también ayuda a prevenir la negligencia
en el cuidado adecuado y fomenta el cumplimiento de los requisitos
legales, regulaciones de la industria, y las políticas de seguridad interna.
Asset Valuation
 La presentación de informes de riesgo es una tarea fundamental a llevar a
cabo al término de un análisis de riesgos.
 Implica la producción de un informe de riesgo y una presentación de ese
informe a las partes interesadas / pertinentes. Para muchas organizaciones,
la presentación de informes de riesgo es solamente una preocupación
interna, mientras que otras organizaciones pueden tener normas que hacen
obligatoria esta presentación de forma pública.
 Un informe de riesgo debe ser precisa, oportuna y completa de toda la
organización, clara y precisa para apoyar la toma de decisiones, y
actualizada.
Continuous Improvement

 La seguridad está siempre cambiando. Por tanto, cualquier solución

de seguridad implementada requiere actualizaciones y cambios en
el tiempo.
 Si un camino de mejora continua no es proporcionado por una
contramedida seleccionada, entonces debe ser reemplazada por
una que ofrece mejoras a la seguridad escalables y mantenibles en
el tiempo.
Risk Management Frameworks (RMF)
Un marco de riesgo es una directriz de cómo el riesgo se ha de evaluar, resolver, y monitorear.
El ejemplo principal de un marco de riesgo al que hace referencia el examen CISSP es el definido por
el NIST en la Publicación Especial 800-37.
Este RMF:
 Promueve el concepto de gestión de riesgos en tiempo casi real y la implementación de procesos
sólidos de monitoreo continuo.
 Proporciona a los altos dirigentes la información necesaria para tomar decisiones rentables
 Integra seguridad de la información en el ciclo de arquitectura de la empresa y el sistema de vida
de desarrollo.
 Proporciona énfasis en la selección, implementación, evaluación y monitoreo de los controles de
seguridad, y la autorización de los sistemas de información.
 Relaciona los procesos de gestión de riesgos a nivel de sistema de información con los procesos de
gestión de riesgos a nivel de la organización a través de un ejecutivo de riesgo (función);
 Establece la responsabilidad y la rendición de cuentas para los controles de seguridad
desplegados en los sistemas de información de la organización.
Risk Management Frameworks (RMF)

 El modelo de seis pasos que este RMF propone, incluye categorización de

seguridad, selección de controles de seguridad, la aplicación de control de
seguridad, evaluación de control de seguridad, sistema de información de
autorización y supervisión del control de seguridad.
Risk Management Frameworks (RMF)
Risk Management Frameworks (RMF)

 Categorize the information system and the information processed,

stored, and transmitted by that system based on an impact analysis.
 Select an initial set of baseline security controls for the information
system based on the security categorization; tailoring and
supplementing the security control baseline as needed based on an
organizational assessment of risk and local conditions.
 Implement the security controls and describe how the controls are
employed within the information system and its environment of
operation.
Risk Management Frameworks (RMF)

 Assess the security controls using appropriate assessment procedures to

determine the extent to which the controls are implemented correctly,
operating as intended, and producing the desired outcome with respect to
meeting the security requirements for the system.
 Authorize information system operation based on a determination of the risk
to organizational operations and assets, individuals, other organizations, and
the Nation resulting from the operation of the information system and the
decision that this risk is acceptable.
 Monitor the security controls in the information system on an ongoing basis
including assessing control effectiveness, documenting changes to the
system or its environment of operation, conducting security impact analyses
of the associated changes, and reporting the security state of the system to
designated organizational officials.”
Establish and Manage Information Security
Education, Training, and Awareness

 Debe desarrollarse y gestionarse la educación en seguridad, la formación y la

sensibilización (conciencia ) mediante todas las metodologías de
transferencia de conocimiento.
 La conciencia establece un común denominador, estándar y mínimo de la
comprensión de la seguridad.
 Todo el personal debe ser plenamente consciente de sus responsabilidades y
obligaciones de seguridad.
 Ellos deben estar capacitados para saber qué hacer y qué no hacer.
Establish and Manage Information Security
Education, Training, and Awareness

 Los problemas sobre los que los usuarios tienen que ser conscientes incluyen
evitar el desperdicio, el fraude y las actividades no autorizadas.
 Todos los miembros de una organización, desde la alta dirección a los
pasantes temporales, necesitan el mismo nivel de conciencia.
 El programa de sensibilización en una organización debe estar vinculada con
su política de seguridad, plan de gestión de incidentes, y los procedimientos
de recuperación de desastres.
 Para que un programa de sensibilización sea eficaz, debe ser creativo y
actualizado con frecuencia.
Establish and Manage Information Security
Education, Training, and Awareness

 El entrenamiento es enseñar a los empleados a llevar a cabo sus tareas de

trabajo y cumplir con la política de seguridad.
 La formación suele ser realizada por la organización y está dirigida a grupos
de empleados con funciones de trabajo similares.
 Sensibilización y formación a menudo se proporcionan de forma interna.
 Esto significa que estas herramientas de enseñanza son creadas y
desplegadas por y dentro de la propia organización.
 Sin embargo, el siguiente nivel de la distribución del conocimiento
generalmente se obtiene de una fuente externa.
Establish and Manage Information Security
Education, Training, and Awareness

 La educación es una tarea más detallada en la que los estudiantes / usuarios

deben aprender mucho más de lo que realmente necesitan saber para llevar
a cabo sus tareas de trabajo.
 La educación se asocia más con los usuarios que desean obtener la
certificación en seguridad o la promoción de un empleo.
 Por lo general es un requisito para el personal que busca puestos
profesionales de seguridad.
 Un profesional de seguridad requiere un amplio conocimiento de la
seguridad y el medio ambiente para toda la organización y no sólo sus tareas
de trabajo específicas.
Manage the Security Function

 Para gestionar la función de seguridad, una organización debe

aplicar una gestión adecuada y suficiente de la seguridad.
 El acto de realizar una evaluación de riesgos para conducir la
política de seguridad es el ejemplo más claro y directo de la
gestión de la función de seguridad.
 La gestión de la función de seguridad incluye el desarrollo e
implementación de las estrategias de seguridad de la información.
 La mayor parte del contenido del examen CISSP, y por lo tanto de
este curso, aborda los diversos aspectos del desarrollo e
implementación de las estrategias de seguridad de la información.