Gestión de Sistemas de

Información y Business
Intelligence
Evaluación riesgos de Sistemas de Información
Junio de 2018
Integrantes:
_Darwin Aldas
_Jimmy Gómez
_Daisy Chango
_Liliana Acosta
Contenido
1 INTRODUCCIÓN .................................................................................................................................. 2
2 OBJETIVOS ........................................................................................................................................... 2
2.1 Objetivo General .................................................................................................................................. 2
2.2 Objetivos específicos............................................................................................................................ 2
3 Desarrollo ................................................................................................................................................ 2
3.1 Activos de software .............................................................................................................................. 3
3.2 Amenazas ............................................................................................................................................. 4
3.3 Análisis de riesgos................................................................................................................................ 5
3.4 Evaluación de riesgos ........................................................................................................................... 6
4. Conclusiones .......................................................................................................................................... 7
5. Recomendaciones ................................................................................................................................... 7
6. Referencias ............................................................................................................................................. 7
1 INTRODUCCIÓN

En la actualidad la tecnología ha brindado a las empresas la facilidad de optimizar sus procesos gracias
a la inclusión de sistemas de información en su infraestructura. La aparición de amenazas que pueden
afectar el funcionamiento de los mismos es un fenómeno paralelo al avance tecnológico, la importancia
de documentar los tipos de riesgos y evaluar las posibles soluciones a cada uno de ellos ha permitido a
las empresas asegurar la calidad en su operación y por ende su buen funcionamiento.

2 OBJETIVOS

2.1 Objetivo General

Identificar, analizar y evaluar los posibles riesgos que pueden afectar a los sistemas de información de la
empresa Galápagos Travel Center.

2.2 Objetivos específicos

_Ejecutar un análisis de los activos de software y los riesgos a los cuales se encentran expuestos.
_Documentar los riesgos que pueden afectar al normal funcionamiento de los sistemas de información
de la empresa.
_Evaluar los riesgos y las acciones que conllevan el tratamiento de los mismos.

3 Desarrollo

Para la generación del presente documento se ha tomado como referencia el uso de estándares
internacionales como una base y guía para la gestión de riesgos, el alcance del presente trabajo se
enfoca en la identificación de activos de software el análisis de sus riesgos y la evaluación de los
mismos.
El MAGERIT en su versión 3.0 es una metodología de análisis y gestión de riesgos de los Sistemas de
Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los
riesgos de la implantación y uso de las Tecnologías de la Información.
Dentro de los objetivos de la metodología se encuentran los siguientes:
Directos:
1. concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de
la necesidad de gestionarlos
2. ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
información y comunicaciones (TIC)
3. ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control

Indirectos:
1. preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso.
La visión en conjunto de la metodología propone dos grandes tareas a realizar:
 Análisis de riesgos: Permite determinar qué tiene la Organización y estimar lo que podría pasar.
Tratamiento de los riesgos: Permite organizar la defensa concienzuda y prudente, defendiendo
para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a
los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el
riesgo se reduce a un nivel residual que la Dirección asume.

Figura 1: Gestión de riesgos; tareas a realizar según la metodología MAGERIT.

La aplicación de la metodología implica los siguientes pasos:
1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el
sentido de qué perjuicio (coste) supondría su degradación.
2. determinar a qué amenazas están expuestos aquellos activos.
3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de
la amenaza.

Figura 2: Elementos de análisis de riesgos según la metodología MAGERIT.

3.1 Activos de software

Para la empresa Galápagos Travel el uso de sistemas de información que facilitan el desempeño
de las actividades internas, han podido impactar de manera positiva en la optimización de sus
procesos.
Como lo exige la metodología y como un paso inicial para la gestión de riesgos se ha logrado
identificar a los activos de software internos agregando un peso de valor a cada uno de ellos ver
tabla1.

Tabla 1: Activos de software de la empresa Galápagos Travel Center

3.2 Amenazas

Es importante identificar los tipos de amenazas a los que están expuestos los sistemas de
información, la metodología propone listar cada uno de ellos y agregar un valor que permita
identificar cuan perjudicial puede llegar a ser y cuan probable puede suceder.
 Tabla2: Valoración de amenazas

3.3 Análisis de riesgos

Una vez identificadas y valoradas las posibles amenazas el siguiente paso asociar a cada una de ellas
nuestros sistemas de información. El objetivo es listar todos los riesgos posibles y agregar una
calificación que me permita diferenciar la gravedad de cada uno de ellos.

Figura 3: Diagrama de calificación del riesgo según MAGERIT

Tabla3: Análisis de riesgos

3.4 Evaluación de riesgos
Una vez identificados los riesgos a los cuales están expuestos los sistemas de información y el valor que
tiene cada uno de ellos es importante saber qué hacer ante la aparición de uno de ellos.

La metodología resume las posibles decisiones a tomar en cuanto al análisis de los riesgos.

Figura 4: Decisiones del tratamiento de riesgos según la metodología MAGERIT.

Para nuestra evaluación se ha realizado una tabla en la cual se presenta la posible solución a los
riesgos asociados a los sistemas de información de la empresa.

Tabla 5: Evaluación de riesgos

La gestión de los riesgos es uno de los factores de gran importancia en el aseguramiento de la calidad de
los procesos de una empresa, el saber documentar y llevar un control de los mismos otorga la
posibilidad de estar preparados ante cualquier eventualidad.

Como resultado de este trabajo se ha elaborado un archivo en formato Excel (anexo) que contiene los
tabulados de todo el proceso mencionado en este documento.
4. Conclusiones
_Se ha concluido que la documentación en la gestión de riesgos es una herramienta de gran ayuda para
el tratamiento de los mismos.

_Se pudo apreciar que existen gran cantidad de amenazas y que depende del entorno en el cual se
desarrolla la empresa deben ser identificadas y valoradas.

_Se pudo conocer que existen varias metodologías que pueden ayudar a documentar la evaluación de
riesgos.

5. Recomendaciones
_En la adopción de una metodología para el tratamiento de los riesgos se debe usar la que más se alinee
al giro de negocio de la empresa.

_Las empresas deberían llevar este proceso como una política interna para el óptimo desarrollo de sus
actividades.

6. Referencias
MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. [En línea]
Recuperado de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mage
rit.html#.WxS_PPkvzIU