Asignatura Datos del alumno Fecha

Apellidos: Zúñiga González

Análisis de Riesgos
Informáticos
Nombre: Israel
30/11/18

Actividades

Actividad: La seguridad, los sistemas y la metodología de gestión

de riesgos en los programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en

presentar una propuesta que eficiente el involucramiento de todo el personal de la
institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto,
debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.
3. Procesos a realizar.
4. Definición de personas a involucrar.
5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y

justificación de la metodología seleccionada.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga González
Análisis de Riesgos
Informáticos
Nombre: Israel
30/11/18

Protección de la información del Banco Mexicano

del Desarrollo.
Israel Zúñiga Gonzalez
Universidad internacional de la Rioja
issraeel@hotmail.com

Objetivo: establecer un mecanismo de gestión que ayude al banco a fortalecer e

implementar el aseguramiento de la información en cumplimiento a las
normativas actuales que tenga que cumplir, asegurando la información de los
clientes y principalmente generando un estado de confianza para ganar más
adeptos en las cuentas.

Faces:
I. Primer mes:
o se tendrá que tener el acercamiento con las áreas responsables que
estén revisando el cumplimento normativo actual del banco y
tener el contexto para implementar el mapeo con la metodóloga de
ISO/IEC 21001:2013
o Contextualización de la normativa que tiene que cumplir el banco
actualmente.
o Mapeo de las áreas involucradas para definir la estrategia de
atención.
II. Segundo mes:
o Identificación de las políticas, misión y visión del banco para la
generación de una política de seguridad que se alinea al negocio y
se encuentre en sintonía con la misión y visión.
o Mapeo del organigrama institucional y el documento de la
contextualización del banco en cumplimento con los dominios del
ISO/IEC 22002:2013 (Controles) no es con el fin de aplicar los
controles sin tener una evaluación de riego es para la
identificación de los dominios y las áreas que se estarán
involucrando.
III. Tercer Mes:
o De las áreas identificadas como responsables en la estrategia:
 Recursos humanos
 Auditoría
 Control Interno
 Sistemas
 Seguridad TI
 Seguridad Física
Se establecerá la estrategia con el inicio de la evaluación de todo el
personal en conocimientos de seguridad de la información y las
políticas del banco.
o Del resultado de la evaluación se generará la campaña de
concientización con la política se seguridad, reforzando en el
TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.
(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga González
Análisis de Riesgos
Informáticos
Nombre: Israel
30/11/18

capital humano la necesidad de la implementación del sistema de

gestión.
IV. Cuarto Mes:
o Se presenta a la alta dirección la estrategia de capacitación y
política de seguridad para obtener el respaldo e involucramiento
para un mejor resultado.
o Si hay observaciones de la alta dirección en este mes se realizaran
los ajustes pertinentes a la estrategia.
V. Quinto Mes:
o Se inicia la capacitación al personal con la concientización en el
sistema de gestión, seguridad de la información y las políticas del
banco.
o Al término de la capacitación se ejecutará la evaluación al personal
para poderla comparar con la primera evaluación y contar no una
métrica para tomar las siguientes fases de la implementación del
sistema de gestión.
VI. Sexto Mes:
o Se presentarán los resultados a la dirección General y al personal
para demostrar la necesidad y mejora de la seguridad de la
información solo con la concientización.
o Se iniciará la identificación de los inventarios tecnológicos,
documentales y físicos que se involucren en la seguridad de la
información.
o Se realizará una evaluación de análisis de riesgos del inventario
resultante en primera instancia cualitativo.
o Se aplicarán los controles identificados con las áreas en el
documento generado en el mes dos.
o Este periodo de implementación se ejecutará en una segunda fase
ya que sale del periodo de los primeros seis meses como
planeación.

Alcance: generar la mejora en la concientización de la seguridad de la

información en el banco la cual se medirá con las evaluaciones del mes cuatro y
los resultados del mes cinco al culminar el periodo de capacitación.

Justificación: con los indicadores a favor de la mejora en el personal nos da la

base para la implementación, evaluación y aplicación de los controles de
seguridad del sistema de gestión del cual con estos primeros meses estaremos
evitando una renuencia por el personal, la gerencia y la alta dirección.

Conclusión: Con esta propuesta se puede identificar que sin la

implementación de un control tecnológico o documental se genera un cambio
sustancial como principalmente el interés y apoyo de la alta dirección para
poder implantar el sistema de gestión en una segunda fase con la identificación
de un análisis de riesgos e implementación de controles identificados con
métricas para una mejora continua reforzando la seguridad de banco dejando

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga González
Análisis de Riesgos
Informáticos
Nombre: Israel
30/11/18

como base la política se seguridad alineada a la misión y visión del negocio

en este caso el banco.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)