Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información y Business
Intelligence
Evaluación riesgos de Sistemas de Información
Junio de 2018
Integrantes:
_Darwin Aldas
_Jimmy Gómez
_Daisy Chango
_Liliana Acosta
Contenido
1 INTRODUCCIÓN .................................................................................................................................. 2
2 OBJETIVOS ........................................................................................................................................... 2
2.1 Objetivo General .................................................................................................................................. 2
2.2 Objetivos específicos............................................................................................................................ 2
3 Desarrollo ................................................................................................................................................ 2
3.1 Activos de software .............................................................................................................................. 3
3.2 Amenazas ............................................................................................................................................. 4
3.3 Análisis de riesgos................................................................................................................................ 5
3.4 Evaluación de riesgos ........................................................................................................................... 6
4. Conclusiones .......................................................................................................................................... 7
5. Recomendaciones ................................................................................................................................... 7
6. Referencias ............................................................................................................................................. 7
1 INTRODUCCIÓN
En la actualidad la tecnología ha brindado a las empresas la facilidad de optimizar sus procesos gracias
a la inclusión de sistemas de información en su infraestructura. La aparición de amenazas que pueden
afectar el funcionamiento de los mismos es un fenómeno paralelo al avance tecnológico, la importancia
de documentar los tipos de riesgos y evaluar las posibles soluciones a cada uno de ellos ha permitido a
las empresas asegurar la calidad en su operación y por ende su buen funcionamiento.
2 OBJETIVOS
Identificar, analizar y evaluar los posibles riesgos que pueden afectar a los sistemas de información de la
empresa Galápagos Travel Center.
_Ejecutar un análisis de los activos de software y los riesgos a los cuales se encentran expuestos.
_Documentar los riesgos que pueden afectar al normal funcionamiento de los sistemas de información
de la empresa.
_Evaluar los riesgos y las acciones que conllevan el tratamiento de los mismos.
3 Desarrollo
Para la generación del presente documento se ha tomado como referencia el uso de estándares
internacionales como una base y guía para la gestión de riesgos, el alcance del presente trabajo se
enfoca en la identificación de activos de software el análisis de sus riesgos y la evaluación de los
mismos.
El MAGERIT en su versión 3.0 es una metodología de análisis y gestión de riesgos de los Sistemas de
Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los
riesgos de la implantación y uso de las Tecnologías de la Información.
Dentro de los objetivos de la metodología se encuentran los siguientes:
Directos:
1. concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de
la necesidad de gestionarlos
2. ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
información y comunicaciones (TIC)
3. ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
Indirectos:
1. preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso.
La visión en conjunto de la metodología propone dos grandes tareas a realizar:
Análisis de riesgos: Permite determinar qué tiene la Organización y estimar lo que podría pasar.
Tratamiento de los riesgos: Permite organizar la defensa concienzuda y prudente, defendiendo
para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a
los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el
riesgo se reduce a un nivel residual que la Dirección asume.
Para la empresa Galápagos Travel el uso de sistemas de información que facilitan el desempeño
de las actividades internas, han podido impactar de manera positiva en la optimización de sus
procesos.
Como lo exige la metodología y como un paso inicial para la gestión de riesgos se ha logrado
identificar a los activos de software internos agregando un peso de valor a cada uno de ellos ver
tabla1.
3.2 Amenazas
Es importante identificar los tipos de amenazas a los que están expuestos los sistemas de
información, la metodología propone listar cada uno de ellos y agregar un valor que permita
identificar cuan perjudicial puede llegar a ser y cuan probable puede suceder.
Tabla2: Valoración de amenazas
La metodología resume las posibles decisiones a tomar en cuanto al análisis de los riesgos.
La gestión de los riesgos es uno de los factores de gran importancia en el aseguramiento de la calidad de
los procesos de una empresa, el saber documentar y llevar un control de los mismos otorga la
posibilidad de estar preparados ante cualquier eventualidad.
Como resultado de este trabajo se ha elaborado un archivo en formato Excel (anexo) que contiene los
tabulados de todo el proceso mencionado en este documento.
4. Conclusiones
_Se ha concluido que la documentación en la gestión de riesgos es una herramienta de gran ayuda para
el tratamiento de los mismos.
_Se pudo apreciar que existen gran cantidad de amenazas y que depende del entorno en el cual se
desarrolla la empresa deben ser identificadas y valoradas.
_Se pudo conocer que existen varias metodologías que pueden ayudar a documentar la evaluación de
riesgos.
5. Recomendaciones
_En la adopción de una metodología para el tratamiento de los riesgos se debe usar la que más se alinee
al giro de negocio de la empresa.
_Las empresas deberían llevar este proceso como una política interna para el óptimo desarrollo de sus
actividades.
6. Referencias
MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. [En línea]
Recuperado de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mage
rit.html#.WxS_PPkvzIU