La Metodologia Microsoft para el Gerenciamiento de los Riesgos ( Microsoft Security Risk Management Process ) es un mix entre las metodologias cuantitativas y las cualitativas de analisis de riesgo.
Este proceso consiste de cuatro fases, la primera es donde se realiza la medicion de los riesgos a los que estamos expuestos, combinando ambos aspectos de las metodologias cuantitativas y cualitativas.
La metodologia cualitativa dara una vision rapida de los riesgos y la cuantitativa se utilizara para examinar los riesgos para graves que fueron encontrados.
La lista de los riesgos mas severos sera utilizada en la fase en la cual tomaremos las decisiones de como minimizar estos riesgos.
Durante la tercera fase o de Implementacion de Controles, se introduciran controles y por ultimo en la cuarta fase se medira la efectividad de las medidas de mitigacion adoptadas.
Dado que esta metodologia es ciclica, todo vuelve a realizarse segun el tamaƱo de la organizacion, aunque probablemente un ciclo anual seria lo recomendado.
Por supuesto que realizar el analisis de riesgo antes de programar el presupuesto anual es lo mas recomendado para poder dirigir el esfuerzo hacia los riesgos mas severos.
Determinando el nivel de la Gestion de Riesgo en su Organizacion.
Antes de intentar implementar en su organizacion el proceso de Gestion de Riesgos de Microsoft, se debe verificar el nivel actual de su gestion del riesgo. De otra manera puede ser muy complicado implementar de cero todo el modelo.
Si se determina que aun es inmadura su organizacion, tal vez conviene comenzar a realizar una implementacion piloto en un departamento para ganar experiencia y luego comenzar a expander la metodologia por toda la organizacion.
Microsoft basandose en la norma ISO 27001 define los diferentes niveles de maduridad de la gestion del riesgo.
Nivel 0 - No existente : Procesos y Politicas no documentadas
Nivel 1 - Ad-Hoc : Se considera el proceso de Gestion del Riesgo pero no se implementan politicas o procesos.
Nivel 2 - Repititivo :La organizacion tiene conciencia de los riesgos , el proceso de gestion del riesgo es repetitivo pero inmaduro.
Nivel 3- Procesos Definidos :La organizacion adopto el proceso de gestion de riesgos.
Los procesos estan escritos y hay medidas para medir los resultados.
Nivel 4 - Gestionado :Hay una gestion del riesgo en toda la organizacion, los procesos de gestion de riesgo estan bien documentados y los usurios son capacitados para su utilizacion.
Nivel 5 - Optimizado: Los procesos de gestion de riesgo estan automatizados por medio de herramientas. El equipo de gestion de riesgo puede planificar las soluciones a futuro. La causa de los problemas son identificadas y se toman medidas para evitar su repeticion.
Autocuestionario para medir el Nivel de Maduridad de la Gestion de Riesgos
Las siguientes preguntas ofrecen una formas mas rigurosa de medir el nivel de maduridad de su organizacion. Contestando honestamente cada una permirita determinar que tan bien preprada esta su empresa para para implementar el proceso de Gestion de Riesgos de Microsoft.
El score tiene una escala de 0 a 5 utilizando las definiciones anteriores.
--Las politicas de seguridad de la informacion y procedimientos , son claros, concisos, bien documentados y completos.
--Todas las posiciones del equipo de IT que trabajen en seguridad conocen claramente y entienden los roles y las responsabilidades.
--Las politicas y procedimientos para la seguridad de terceras partes que acceden a los datos de la organizacion estan bien documentadas.
--Un inventario de activos IT , como hardware , software y bases de datos se encuentra actualizado y contiene datos confiables.
--Existen controles para proteger la informacion de la organizacion de accesos no autorizados tanto externos como internos.
--Los usuarios son entrenados y se distribuyen newletters con informaciones de politicas de seguridad.
--Los accesos fisicos a la red de datos y otros activos informaticos es restringida por medio del uso de controles efectivos.
--Los nuevos sistemas son preparados siguiendo estandares de seguridad de la organizacion, utilizando herramientas automatizadas como disk clonning y scripts.
--Existe un sistema de patchmanagement que puede enviar en forma automatica updates de software de diferentes proveedores a la mayoria de los sistemas de la organizacion.
--Un equipo de respuesta a incidentes fue creado y se desarrollo documentacion para manejar y seguir los incidentes de seguridad. Todos los incidentes son investigado hasta encontrar la causa de los problemas.
--La organizacion tiene un sistema de Antivirus , con multiples capas de defensa y los usuarios son entrenados para su utilizacion. Existe un proceso efectivo para combatir problemas de virus.
-- Los procesos de alta de usuarios se encuentran bien documentados y al menos parcialmente automatizados, de manera que nuevos empleados y partners puedan tener los privilegios adecuados de acceso a los sistemas de la organizacion en forma y tiempo.
Estos procesos debe contemplar tambien la desabilitacion y borrado de cuentas de usuarios que ya no se necesiten.
--El acceso a las PC's y red de datos es controlado por medio de autenticacion y autorizacion de usuarios, acceso restrictivo a los datos y monitoreo proactivo de violaciones a las politicas.
--Las aplicaciones de los desarrolladores son entregadas con las medidas de seguridad adecuadas y con control de calidad del codigo.
--Programas de continuidad de negocio estan definidos, bien documentados y probados en forma periodica por medio de tests y simulaciones.
--Se realizan auditorias externas en forma regular para verificar el cumplimiento de las practicas estandars para la seguridad de los activos del negocio.
Se debe calcular el puntaje obtenido por la organizacion sumando todos los puntas de cada item. Teoricamente el puntaje varia de 0 a 85% , sin embargo pocas organizaciones alcanzan algun extremo.
Para poder introduccir la metodologia de Microsoft, una organizacion debe tener un valor mayor a 51.
Un puntaje de 34 a 50 indica que la organizacion tomo recaudos de seguridad y puede gradualmente ingresar al proceso.
Organizacion con valores menores a deben comenzar lentamente a introducir la metodologia de Microsoft, aplicando los procesos a una unidad de negocios como plan piloto.
La gui completa de esta metodologia puede bajarse en el siguiente link
No comments:
Post a Comment