Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Por:
Valentina Hernández Casas
Asesores
Jorge Mario Gaviria Hincapié
Docente Facultad de Ingeniería
Silvia Marcela Henao Villa
Docente Facultad de Ingeniería
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
Presidente del jurado
_______________________________
Jurado
________________________________
Jurado
RESUMEN
En esta monografía se aborda la gestión de riesgos de los datos y la información con una
propuesta de fácil implementación, como lo es un formulario para analizar los riesgos actuales,
haciendo uso de los indicadores y los estándares establecidos por la ISO/IEC 27001, donde se
observan y comprenden fácilmente los riesgos, analizados desde el dashboard, con la finalidad
de incentivar la implementación de herramientas para la gestión de riesgos, y que la cultura de la
seguridad informática y ciberseguridad crezcan.
Analizando primero las amenazas y las vulnerabilidades más recurrentes en las compañías en
cuanto a calidad de datos, e implementando tres indicadores claves: la criminalidad común,
sucesos de origen físico y negligencia institucional, se ha construido esta propuesta para estimar
el riesgo de acuerdo con el grado de vulnerabilidad de los elementos expuestos; estas
vulnerabilidades se miden desde la probabilidad de amenaza y magnitud de daño.
ABSTRACT
This monograph deals with the risk management of data and information with a proposal that is
easy to implement, such as a form to analyze current risks using the indicators and standards
established by ISO / IEC 27001, where they are observed and they easily understand the risks
analyzed from the dashboard, in order to encourage the implementation of risk management
tools, and for the culture of computer security to grow.
By first analyzing the most recurring threats and vulnerabilities in companies in terms of data
quality and implementing three key indicators: common crime, events of physical origin and
institutional negligence, this proposal has been constructed to estimate the risk according to the
degree vulnerability of exposed elements; These vulnerabilities are measured from the
probability of threat and magnitude of damage.
ABSTRACT ................................................................................................................................... 3
1. INTRODUCCIÓN .................................................................................................................... 6
4. METODOLOGIA ..................................................................................................................... 8
REFERENCIAS:......................................................................................................................... 22
LISTA DE TABLAS
Tabla 1. Generada al establecer los datos e información para analizar y reflejar en los
indicadores.
Tabla 7. Matriz de riesgo, base principal del formulario, el dashboard y los indicadores.
Tabla 8. Matriz de mitigación, obtenida a partir de las soluciones encontradas para la mitigación
o intervención de los riesgos, que puedan generarse en los factores definidos en la tabla 1.
1. INTRODUCCIÓN
El conocimiento más una acción es igual a ventaja competitiva; el entorno empresarial actual se
centra en la creación, procesamiento y explotación de datos para generar conocimiento, el
análisis de los mismos mejora la toma de decisiones y aporta a la inteligencia de negocio para así
lograr los objetivos estratégicos de la compañía, por eso es fundamental encontrar el valor de los
datos en la estructura del negocio, su funcionamiento y aporte; el uso de las tecnologías de la
información supone beneficios evidentes para la compañía y en algunos casos para sus clientes,
pero acarrea ciertos riesgos que en caso de no ser atendidos, pueden afectar gravemente a la
compañía o a sectores y procesos específicos; los riesgos que tienen su origen en el uso de
tecnologías de la información, deben trasladarse a los órganos de dirección y contextualizarlos en
la misión de la organización, es ahí donde surge la necesidad de proteger los datos e información.
Se puede decir entonces que el riesgo siempre ha existido, con el paso del tiempo las diferentes
culturas comenzaron a analizar desde un aspecto cualitativo y cuantitativo, los diferentes factores
que afectaban la producción de alimento o cuanto riesgo implica la presencia de depredadores;
actualmente estamos en la era digital, donde existen múltiples eventos políticos, económicos,
operativos y de mercado, que pueden afectar con diferente intensidad y en momentos
específicos, esto quiere decir que se mide en probabilidad e impacto, entonces puede ser que
acarre problemas reputaciones, de infraestructura que en ocasiones pueden reducirse a
financieros y que realmente pueden llegar a afectar a la seguridad nacional o departamental
además de la propia empresa.
3. REVISIÓN DE LA LITERATURA
Se fundamentaron las bases de la seguridad de la información en 1980, tras la publicación de un
documento escrito por James P. Anderson y titulado Computer Security Threat Monitoring and
Surveillance que traduce al español Supervisión y Vigilancia de Amenazas de Seguridad
Informática, donde concluyo que al implementar un sistema de gestión de monitoreo de
seguridad, es necesario comprender los tipos de amenazas y ataques que se pueden producir en
nuestro sistema, y cómo estas amenazas pueden manifestarse en los datos de auditoría, también
es importante comprender las amenazas y sus fuentes, desde el punto de vista de la identificación
de otros datos por las que la amenaza puede ser reconocida (Anderson, 1980), complemento lo
anterior con lo escrito por Magdalena Reyes en el primer capítulo de Definiciones e Historia de
la seguridad informática donde expresa que a través de la seguridad informática protegemos este
activo que es la información y es fundamental para el funcionamiento de la compañía (Granados,
2011), cabe aclarar que a través de la seguridad de la información estamos garantizando la
seguridad de los datos.
En el mercado actual podemos encontrar diferentes softwares especializados que bajo diferentes
metodologías realizan la gestión de riesgos como es el caso de @Rick desarrollado por Palisade
que utiliza la simulación MonteCarlo, integración y cálculos 100% en Excel, para obtener
múltiples resultados posibles en un modelo de hoja de cálculo, indica la probabilidad de que esos
riesgos se terminen materializando, otros excelentes y completos productos del mercado son SE
Rick y RiskyProject Professional el cual se puede integrar con Microsoft Project y Oracle
Primavera.
La propuesta muestra similitud con los modelos de claves de riesgo KRI y se concluye que es
necesario presentar gráficamente los indicadores ya que permite convertir los datos en
información fundamental para alcanzar los objetivos del negocio y su interpretación es sencilla,
clara y concisa.
4. METODOLOGIA
Por su finalidad es aplicada, ya que presenta una propuesta estructurada como formulario con
medición de indicadores que permita analizar, evaluar y comprobar la seguridad de los datos
desde las probabilidades de amenaza e impacto, y por su carácter se pretende comprender y
analizar los factores de riesgos siendo así de aspecto cualitativo.
Por sus fuentes es de tipo mixta ya que los datos son recolectados por terceros y con diferentes
fines y también de primera mano, teniendo como referencia la ISO 27001 Buenas prácticas para
gestión de la seguridad de la información, que tiene como principal objetivo establecer
directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la
seguridad de la información en una compañía, desde el Ciclo de Deming PDCA: Plan, Do,
Check, Act (Planificar, hacer, verificar y actuar) y así mejorar el sistema de gestión de la
seguridad de la información (SGSI) en la compañía (ISOTools, 2019); con base en lo anterior se
realizó una lista de datos e información fundamental para una compañía en la ciudad de
Medellín.
Se debe clasificar la información de la Tabla1. para así ser evaluada correctamente desde los
indicadores: (Puede hacer parte de las tres):
Se presentan 3 secciones que permiten valorar los riesgos que podrían causar perjuicio de
disponibilidad, confidencialidad, integridad y autenticidad de la información o de los datos
institucionales, de las cuales se derivan los factores claves para el análisis de los indicadores y se
miden bajo los parámetros de Probabilidad de Amenaza como se observa en la Tabla 3.
PROBABILIDAD DE AMENAZA
Sucesos derivados de la
Actos originados por la
impericia, negligencia de
criminalidad común y Sucesos de origen físico
usuarios/as y decisiones
motivación política
institucionales
Falta de inducción, capacitación y
Allanamiento (ilegal, legal) Incendio
sensibilización sobre riesgos
Mal manejo de sistemas y
Persecución (civil, fiscal, penal) Inundación / deslave
herramientas
Utilización de programas no
Orden de secuestro / Detención Sismo
autorizados / software 'pirateado'
Sabotaje (ataque físico y Falta de pruebas de software nuevo
Polvo
electrónico) con datos productivos
Daños por vandalismo Falta de ventilación Perdida de datos
Infección de sistemas a través de
Extorsión Electromagnetismo
unidades portables sin escaneo
Manejo inadecuado de datos
Fraude/Estafa Sobrecarga eléctrica
críticos (codificar, borrar, etc.)
Unidades portables con
Robo/Hurto (físico) Falla de corriente (apagones)
información sin cifrado
Robo/Hurto de información Falla de sistema / Daño disco Transmisión no cifrada de datos
electrónica duro críticos
Manejo inadecuado de contraseñas
Intrusión a Red interna (inseguras, no cambiar,
compartidas, BD centralizada)
Compartir contraseñas o permisos a
Infiltración
terceros no autorizados
Ejecución no autorizado de Transmisión de contraseñas por
programas teléfono
Exposición o extravío de equipo,
Violación a derechos de autor
unidades de almacenamiento, etc.
Sobrepasar autoridades
Falta de definición de perfil,
privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software
(proceso y recursos)
Fallas en permisos de usuarios
(acceso a archivos)
Acceso electrónico no autorizado a
sistemas externos
Acceso electrónico no autorizado a
sistemas internos
5.1 DIAGNOSTICO
Es aquí donde surge esta propuesta que busca facilitar la implementación de las herramientas
para la gestión de riesgos en seguridad de datos, a través de un dashboard que permite la
evaluación y análisis de los datos e información desde tres indicadores, que se centran realmente
en los aspectos principales que a la compañía le conciernen, como lo son el aspecto político,
sucesos de origen físico e institucional; al identificar los puntos de riesgos es más sencillo
implementar planes de acción y mitigación.
Es importante incluir dentro de la gestión de riesgos el marco de apetito al riesgo (RAF, por sus
siglas en inglés: Risk Appetite Framework) que se define como el nivel máximo que una
compañía puede soportar y es determinado bajo el capital disponible, establece finalmente el
perfil de riesgo, por ello debe ser definido por los directivos, teniendo en cuenta los principios
que este debe tener:
Debe incluir todos los departamentos y sectores, así como las áreas de negocio, debe ser
integral.
Es fundamental vincular la información definida en los planes de negocio y estratégicos.
Flexible, logrando así adaptarse a los cambios del entorno y del mercado.
Previo a la implementación de los indicadores, se deben plantear tres preguntas clave que
apoyaran el desarrollo del formulario y facilitaran la comprensión de los indicadores:
Contiene organizadamente los planes de mitigación, los cuales reducen la exposición al riesgo,
que realmente es la función de la probabilidad de ocurrencia del riesgo y el impacto de este
riesgo en la compañía; es el resultado de múltiples actividades y estrategias que establecen
acciones de carácter preventivo e inmediatas para así controlar o prevenir los riesgos. (Gamboa,
2017)
Criminalidad y Político: Desde la medición del crimen podemos identificar las diferentes
y principales tendencias, o características de los delitos que podrían afectar a la compañía
en cuestión de seguridad de los datos; son actos originados por la criminalidad común y
motivación política.
Sucesos de origen físico: Analizar las pérdidas directas no solo desde el riesgo ambiental
como lo dicta la ISO 14001, sino también desde el daño físico ocasionado por el deterioro
de la infraestructura, daño de equipos o maquinaria.
La realidad es que la compañía puede sufrir un incidente que afecte el proceso en cualquier
momento, lo que realmente es importante aquí es mitigarlos (prevenir), ya que dependiendo de la
forma en la que se gestionen estos incidentes las consecuencias pueden tener un gran o menor
impacto.
1) Detectar el riesgo
3) Mitigar el riesgo.
6. CONCLUSIONES, RECOMENDACIONES Y LIMITACIONES:
Los indicadores de riesgo permiten tener una visión más completa e integral del problema
del riesgo y su manejo dentro de la compañía. No se trata de precisar una problemática en
forma exacta, sino de estimar su posibilidad y magnitud de daño (probabilidad e
impacto), para tomar decisiones oportunas y enfocarse en los riesgos más urgentes.
Cada compañía debe realizar su propio plan de mitigación de riesgos, ya que los sistemas
y las circunstancias varían.
Gamboa, B. (2017). Plan de gestión del riesgo en seguridad y privacidad de la información. 31.
http://lospatios-nortedesantander.gov.co/Conectividad/InformesGEL/GT-D-02 PLAN DE
GESTION DEL RIESGO EN SPI.pdf
Prof. Mario Héctor Vogel. (2013). Riesgo Estratégico: el 99% NO Hace Prevención.
https://www.tablerodecomando.com/riesgo-estrategico-no-hace-prevencion/
Rusty Willow. (2014). info Rusty: Creeper: El primer virus ¿ficción o realidad?
Http://Inforusty.Blogspot.Com/2014/09/Creeper-El-Primer-Virus-Ficcion-o.Html.