Mitigación del riesgo
En el caso de se decida mitigar el riesgo! los pasos a seguir son: En el caso de se decida mitigar el riesgo! los pasos a seguir son:
<.
<. -eleccionar-eleccionar los los controlescontroles apropiados para los riesgos a los que se quiere &acer apropiados para los riesgos a los que se quiere &acer
frente! en principio del
frente! en principio del Catálogo de ?uenas rácticas de la *2/J*EC Catálogo de ?uenas rácticas de la *2/J*EC 57@@5 "<;;57@@5 "<;; controles posibles$! pero pueden a0adirse otros
controles posibles$! pero pueden a0adirse otros que la que la organi#acorgani#ación considereión considere necesario.
5.
5. ImplantarImplantar los loscontrolescontroles para lo para lo que deben desarrollarse procedimientos.que deben desarrollarse procedimientos.
4unque sean controles tecnológicos deben desarrollarse para
4unque sean controles tecnológicos deben desarrollarse para su instalación! usosu instalación! uso y mantenimiento.
y mantenimiento. ;.
;. 7erificar7erificar que los que los controlescontroles están están correctamente implantados.correctamente implantados.
66.. EEststaablbleecceerr indicadoresindicadores para saber en que medida la implantación de los para saber en que medida la implantación de los
controles seleccionad
controles seleccionados reduce el riesgo os reduce el riesgo a un nivel a un nivel aceptable.aceptable. Los controles se seleccionarán e implementarán para minimi#ar en lo
Los controles se seleccionarán e implementarán para minimi#ar en lo posible laposible la posibilidad de qu
posibilidad de que los riesgos dee los riesgos detectados en el atectados en el análisis de riesgos nálisis de riesgos da0en los acda0en los activos.tivos. E-isten dos grandes grupos de controles. or un
E-isten dos grandes grupos de controles. or un lado loslado los tcnicostcnicos! tales como sistemas! tales como sistemas
de cifrado! copias de seguridad! sistemas de detección de
de cifrado! copias de seguridad! sistemas de detección de intrusos! actuali#acionintrusos! actuali#aciones dees de softKare! antivirus o cortafuegos! y por otro los
softKare! antivirus o cortafuegos! y por otro los organi$ativosorgani$ativosque son medidasque son medidas
organi#a
organi#ativas tales como la tivas tales como la olítica de 2eguridad! procedimientos de uso de los olítica de 2eguridad! procedimientos de uso de los sistemassistemas de información para los usuarios! los
de información para los usuarios! los planes de formación o los planes de formación o los planes de continuidadplanes de continuidad del negocio.
del negocio.
Es muy importante conseguir un con%unto de
Es muy importante conseguir un con%unto de controles que contenga controles de loscontroles que contenga controles de los dos tipos! ya que muc&as medidas técnicas no
dos tipos! ya que muc&as medidas técnicas no pueden impedir que los usuarios de lospueden impedir que los usuarios de los sistemas cometan errores o da0en intencionadamente los activos y! al contrario! emitir sistemas cometan errores o da0en intencionadamente los activos y! al contrario! emitir muc&as normas internas puede ser in+til si
muc&as normas internas puede ser in+til si no &ay una mínima seguridad técnicano &ay una mínima seguridad técnica implantada.
implantada.
or e%emplo! el estudio del uso de ordenadores portátiles para traba%os fuera de las or e%emplo! el estudio del uso de ordenadores portátiles para traba%os fuera de las instalaciones de la organi#ación puede &aber determinado que e-iste un riesgo alto instalaciones de la organi#ación puede &aber determinado que e-iste un riesgo alto dede robo para los portátiles.
robo para los portátiles. 2e pueden escoger varios controles para mitigar este r2e pueden escoger varios controles para mitigar este riesgo.iesgo. no de ellos será dise0ar unas normas de utili#ación de este tipo de activos! que obligue no de ellos será dise0ar unas normas de utili#ación de este tipo de activos! que obligue a los usuarios a no de%ar sus portátiles desatendidos y a no de%arlos a la vista en el
a los usuarios a no de%ar sus portátiles desatendidos y a no de%arlos a la vista en el coc&e. Con este control es probable que
coc&e. Con este control es probable que se redu#ca la probabilidad de robo! sin se redu#ca la probabilidad de robo! sin embargoembargo la posibilidad todavía e-iste. 4sí que es necesario tomar otras medidas como el
la posibilidad todavía e-iste. 4sí que es necesario tomar otras medidas como el cifradocifrado del disco duro y
del disco duro y un proceso de autenticación de usuario! que servirán para reducir un proceso de autenticación de usuario! que servirán para reducir elel da0o a la confidencialidad que se
da0o a la confidencialidad que se produciría si el equipo es produciría si el equipo es robado.robado.
La combinación de las medidas técnicas y organi#ativas consigue un nivel de
La combinación de las medidas técnicas y organi#ativas consigue un nivel de seguridadseguridad ra#onable con unos recursos limitados para el
ra#onable con unos recursos limitados para el escenario de riesgo que se trataba deescenario de riesgo que se trataba de mitigar.
mitigar.
/tra clasificación que se puede &acer de los controles para facilitar su selección es la de /tra clasificación que se puede &acer de los controles para facilitar su selección es la de controles
controles preventivospreventivos y ycorrectivoscorrectivos. Los controles de tipo . Los controles de tipo preventivo son aquellos quepreventivo son aquellos que
sirven para evitar incidentes de seguridad no
sirven para evitar incidentes de seguridad no deseados mientras que los correctivos sondeseados mientras que los correctivos son aquellos que se pondrán en marc&a ante la
aquellos que se pondrán en marc&a ante la ocurrencia de fallos o incidentes deocurrencia de fallos o incidentes de seguridad.
seguridad.
or e%emplo! para prevenir accesos no autori#ados a
or e%emplo! para prevenir accesos no autori#ados a una red se crean cuentas de usuariouna red se crean cuentas de usuario y se otorgan privilegios a
y se otorgan privilegios a estos usuarios! diferenciando aquellos que sí pueden accederestos usuarios! diferenciando aquellos que sí pueden acceder de los que no. En el caso de que ocurriera un acceso no autori#ado! por e%emplo! un de los que no. En el caso de que ocurriera un acceso no autori#ado! por e%emplo! un empleado que &a cambiado de departamento y conserva sus antiguos privilegios de los empleado que &a cambiado de departamento y conserva sus antiguos privilegios de los que &ace uso! lógicamente primero &ay que ser
que &ace uso! lógicamente primero &ay que ser capaces de detectarlo y una ve#capaces de detectarlo y una ve# detectado! esos privilegios deberían ser
uc&os controles están interrelacionados! por lo que &ay que
uc&os controles están interrelacionados! por lo que &ay que tener en cuenta estastener en cuenta estas dependencias para que no queden lagunas de seguridad que puedan suponer nuevas dependencias para que no queden lagunas de seguridad que puedan suponer nuevas vulnerabilidades.
vulnerabilidades.
1ay que tener en cuenta que la implantación de un control requiere de ciertos recursos y 1ay que tener en cuenta que la implantación de un control requiere de ciertos recursos y su mantenimiento también. or lo tanto &ay que valorar al escoger un control! si se su mantenimiento también. or lo tanto &ay que valorar al escoger un control! si se cuenta con dinero y mano de
cuenta con dinero y mano de obra suficientes tanto para ponerlos en marc&a como obra suficientes tanto para ponerlos en marc&a como parapara gestionarlos.
gestionarlos.
Esto significa que &ay que considerar varios
Esto significa que &ay que considerar varios factores y restricciones a la factores y restricciones a la &ora de&ora de seleccionar un control! ya que puede darse el caso de que a pesar de cubrir un riesgo seleccionar un control! ya que puede darse el caso de que a pesar de cubrir un riesgo detectado! no se puede o no
detectado! no se puede o no debe ser aplicado! como por e%emplo:debe ser aplicado! como por e%emplo:
El mencionadoEl mencionado coste de la implementación y el mantenimiento del controlcoste de la implementación y el mantenimiento del control.. or e%emplo! se escoge el control
or e%emplo! se escoge el control <<.G<<.G.< Iestricción del acceso a la .< Iestricción del acceso a la informacióninformación y para implantarlo se decide instalar un fireKall. Esta decisión tiene el coste de y para implantarlo se decide instalar un fireKall. Esta decisión tiene el coste de su compra! más el de
su compra! más el de su instalación! configuración y gestión.su instalación! configuración y gestión.
LaLadisponibilidad del controldisponibilidad del control. uede ser necesario instalar un fireKall pero si el. uede ser necesario instalar un fireKall pero si el modelo específico necesario para la organi#ación tiene un pla#o de entrega muy modelo específico necesario para la organi#ación tiene un pla#o de entrega muy largo! puede ser necesario optar por alguna otra
largo! puede ser necesario optar por alguna otra medida al menosmedida al menos temporalmente.
temporalmente.
yudayuda que &ay que otorgar a los que &ay que otorgar a los usuariosusuarios para desempe0ar su función. para desempe0ar su función. 2iguiendo con el e%emplo del f
2iguiendo con el e%emplo del fireKall! &ay que considerar que el ireKall! &ay que considerar que el responsable deresponsable de su gestión dentro de la
su gestión dentro de la organi#aorgani#ación debe saber &acerlo. 2i ción debe saber &acerlo. 2i no es así! &abrá queno es así! &abrá que valorar darle formación o
valorar darle formación o bien subcontratar el servicio. 4demás los usuarios debien subcontratar el servicio. 4demás los usuarios de la red verán probablemente restringidos sus privilegios de
la red verán probablemente restringidos sus privilegios de acceso! por lo queacceso! por lo que &abrá que informar de la
&abrá que informar de la nueva situación y buscar soluciones alternativas sinueva situación y buscar soluciones alternativas si surge alg+n problema.
surge alg+n problema.
ControlesControles que ya e-isten y sólo &ace falta que ya e-isten y sólo &ace falta modificarlosmodificarlos. 2i se diera el caso de. 2i se diera el caso de que ya e-iste un fir
que ya e-iste un fireKall en la organi#ación reali#ando las funciones requeridaseKall en la organi#ación reali#ando las funciones requeridas por el control! qui#
por el control! qui#ás se pueda sás se pueda solucionar el problemolucionar el problema con un cama con un cambio en labio en la configuración o con una
configuración o con una actuali#ación del softKare. )aactuali#ación del softKare. )ambién podría suceder quembién podría suceder que ya &ay aplicados otros controles que mitigan el mismo riesgo! y a0adir otro ya &ay aplicados otros controles que mitigan el mismo riesgo! y a0adir otro resulte e-cesivo o demasiado costoso.
resulte e-cesivo o demasiado costoso.
2u2u aplicabilidadaplicabilidad de acuerdo con los de acuerdo con los riesgos detectados. En cualquier caso! si noriesgos detectados. En cualquier caso! si no &ay un riesgo claro en
&ay un riesgo claro en la organi#ación respecto a los accesos a la información! lala organi#ación respecto a los accesos a la información! la aplicación del control <<.G.< no
aplicación del control <<.G.< no estaría %ustificada.estaría %ustificada. (o todos los c
(o todos los controles deben seontroles deben ser seleccionador seleccionados! pero los &ay qs! pero los &ay que siempre debeue siempre deben sern ser implantados si no lo están ya y son aquellos que constituyen un requisito de la (orma implantados si no lo están ya y son aquellos que constituyen un requisito de la (orma (EJ*2/Q*EC 57@@< tales como la
(EJ*2/Q*EC 57@@< tales como la olítica de 2eguridad o las olítica de 2eguridad o las auditorías internas.auditorías internas. 2eleccionad
2eleccionados los controles pertinentes! debe definirse os los controles pertinentes! debe definirse los procedimientos para sulos procedimientos para su implantación. Los controles de tipo organi#ativo se prestan más a
implantación. Los controles de tipo organi#ativo se prestan más a ser implantadosser implantados mediante procedimientos! como por e%emplo la gestión de
mediante procedimientos! como por e%emplo la gestión de los recursos &umanos. erolos recursos &umanos. ero incluso los de
incluso los de corte tecnológico pueden ser corte tecnológico pueden ser susceptiblesusceptibles de s de necesitar documentaciónnecesitar documentación!! como por e%emplo la
,ebe anali#arse la lista de
,ebe anali#arse la lista de controles seleccionadcontroles seleccionados y establecer qué procedimientosos y establecer qué procedimientos necesitan ser desarrollados. 1ay que contar también que si
necesitan ser desarrollados. 1ay que contar también que si la organi#ación no tienela organi#ación no tiene procesos muy
procesos muy comple%os puede comple%os puede ser posible que ser posible que varios controles pvarios controles puedan agrupauedan agruparse en unrse en un +nico procedimiento. (o es necesario ni recomendable! desarrollar un procedimiento +nico procedimiento. (o es necesario ni recomendable! desarrollar un procedimiento para cada co
para cada control. La cantidad de ntrol. La cantidad de documentacdocumentación generada pueión generada puede &acer francde &acer francamenteamente difícil que se logren gestionar correctamente los controles. or otro lado! los
difícil que se logren gestionar correctamente los controles. or otro lado! los procedimientos deb
procedimientos deben ser lo más breen ser lo más breves y claros pves y claros posible. (o debeosible. (o deben incluir demasiadn incluir demasiadasas instrucciones ni particularidades de la tarea a
instrucciones ni particularidades de la tarea a reali#arreali#ar. El . El ob%etivo del procedimiento esob%etivo del procedimiento es contar con una &erramienta que permita a cualquiera e%ecutarla con un mínimo de rigor contar con una &erramienta que permita a cualquiera e%ecutarla con un mínimo de rigor aun sin contar con formación o
aun sin contar con formación o e-periencia previa.e-periencia previa.
na ve# puestos en marc&a! debe comprobarse periódicamente que los controles na ve# puestos en marc&a! debe comprobarse periódicamente que los controles funcionan como se esperaba. 2i no es
funcionan como se esperaba. 2i no es así! deberán tomarse las acciones necesarias paraasí! deberán tomarse las acciones necesarias para corregir esa situación.
corregir esa situación.
na &erramienta fundamental del 232* es la verificación de la eficacia de los controles na &erramienta fundamental del 232* es la verificación de la eficacia de los controles implantados. ara ello deben establecerse ob%etivos de rendimiento para los controles! implantados. ara ello deben establecerse ob%etivos de rendimiento para los controles! marcar puntos de control y medición y registrar los resultados de manera que se sepa si marcar puntos de control y medición y registrar los resultados de manera que se sepa si el control realmente protege los
el control realmente protege los activos &asta el punto que la activos &asta el punto que la organi#acorgani#ación necesita.ión necesita. or e%emplo! se detecta el riesgo de que los puestos de usuarios se infecten de virus! por or e%emplo! se detecta el riesgo de que los puestos de usuarios se infecten de virus! por lo que se determina aplicar
lo que se determina aplicar el control <@.6.<! Controles contra el el control <@.6.<! Controles contra el código malicioso. aracódigo malicioso. ara implantar este control se decide instalar
implantar este control se decide instalar en todos los puestos un en todos los puestos un antivirus actuali#ableantivirus actuali#able automáticamente a diario. 2e prepara la
automáticamente a diario. 2e prepara la compra de la aplicación! se valoran distintascompra de la aplicación! se valoran distintas opciones! se compra la que se
opciones! se compra la que se considera más apropiada y el responsable de sistemas seconsidera más apropiada y el responsable de sistemas se encarga de instalarla en todos los puestos. 2e
encarga de instalarla en todos los puestos. 2e &a &ec&o un gasto para la &a &ec&o un gasto para la compra delcompra del material y otro
material y otro de mano de obra de mano de obra del responsable de sistemas! para los que &e del responsable de sistemas! para los que &e necesarionecesario presentar una %us
presentar una %ustificación. Esta %ustificactificación. Esta %ustificación vendrá dada pión vendrá dada por la reducción dor la reducción de lase las infecciones de virus en los
infecciones de virus en los puestos y la consiguiente reducción de &oras de traba%opuestos y la consiguiente reducción de &oras de traba%o perdidas soluc
perdidas solucionando estas inionando estas incidencias. 2i &acidencias. 2i &asta la instalación desta la instalación del antivirus teníamos 6l antivirus teníamos 6 infecciones mensuales
infecciones mensuales! en las ! en las que se empleaban G &oras de que se empleaban G &oras de traba%o! los ob%etivos puedentraba%o! los ob%etivos pueden declararse como sigue:
declararse como sigue:
Ieducir el (P de infecciones Jmes a 5Ieducir el (P de infecciones Jmes a 5
Ieducir el (P de &oras empleadas en repararlasJmes a ;Ieducir el (P de &oras empleadas en repararlasJmes a ;
2e establece que semanalmente el responsable de sistemas comprobará el n+mero de 2e establece que semanalmente el responsable de sistemas comprobará el n+mero de infecciones y registrará el tiempo
infecciones y registrará el tiempo empleado en su resolución! reportando los resultadosempleado en su resolución! reportando los resultados mensualmente
mensualmente. Los registros . Los registros de los tres de los tres meses siguientes son:meses siguientes son: <.
<. es <es <. (P de in. (P de infeccfecciones @iones @. 1ora. 1oras empls empleadaeadas en reps en reparacaración. @ión. @ 5.
5. es 5es 5. (P de in. (P de infeccfecciones ;iones ;. 1ora. 1oras empls empleadaeadas en la res en la reparaparaciónción: ;: ; ;.
;. es ;es ;. (P de in. (P de infeccfecciones <iones <. 1ora. 1oras empls empleadaeadas en la res en la reparaparaciónción: 5: 5 ,e estos datos podemos inferir que
,e estos datos podemos inferir que más o menos se está más o menos se está consiguiendo el ob%etivo! y enconsiguiendo el ob%etivo! y en