DASHBOARD CON INDICADORES PARA LA GESTIÓN DE RIESGOS DE

SEGURIDAD DE LA INFORMACIÓN EN UNA EMPRESA EN MEDELLÍN.

Por:
Valentina Hernández Casas

Monografía para optar al título profesional de Ingeniería de Software

Asesores
Jorge Mario Gaviria Hincapié
Docente Facultad de Ingeniería
Silvia Marcela Henao Villa
Docente Facultad de Ingeniería

FUNDACIÓN UNIVERSITARIA MARÍA CANO

FACULTAD DE INGENIERIA
PROGRAMA DE INGENIERIA DE SOFTWARE
MEDELLÍN
2020
 Nota de aceptación

________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________

________________________________
Presidente del jurado

_______________________________
Jurado
________________________________
Jurado
RESUMEN
En esta monografía se aborda la gestión de riesgos de los datos y la información con una
propuesta de fácil implementación, como lo es un formulario para analizar los riesgos actuales,
haciendo uso de los indicadores y los estándares establecidos por la ISO/IEC 27001, donde se
observan y comprenden fácilmente los riesgos, analizados desde el dashboard, con la finalidad
de incentivar la implementación de herramientas para la gestión de riesgos, y que la cultura de la
seguridad informática y ciberseguridad crezcan.

Analizando primero las amenazas y las vulnerabilidades más recurrentes en las compañías en
cuanto a calidad de datos, e implementando tres indicadores claves: la criminalidad común,
sucesos de origen físico y negligencia institucional, se ha construido esta propuesta para estimar
el riesgo de acuerdo con el grado de vulnerabilidad de los elementos expuestos; estas
vulnerabilidades se miden desde la probabilidad de amenaza y magnitud de daño.

ABSTRACT
This monograph deals with the risk management of data and information with a proposal that is
easy to implement, such as a form to analyze current risks using the indicators and standards
established by ISO / IEC 27001, where they are observed and they easily understand the risks
analyzed from the dashboard, in order to encourage the implementation of risk management
tools, and for the culture of computer security to grow.
By first analyzing the most recurring threats and vulnerabilities in companies in terms of data
quality and implementing three key indicators: common crime, events of physical origin and
institutional negligence, this proposal has been constructed to estimate the risk according to the
degree vulnerability of exposed elements; These vulnerabilities are measured from the
probability of threat and magnitude of damage.

PALABRAS CLAVE: dashboard, gestión de riesgos, seguridad de la información, seguridad

informática en una compañía, indicadores de riesgo, datos e información.

KEY WORDS: dashboard, risk management, information security, computer security in a

company, risk indicators, data and information.
CONTENIDO
RESUMEN..................................................................................................................................... 3

ABSTRACT ................................................................................................................................... 3

PALABRAS CLAVE: ................................................................................................................... 3

LISTA DE TABLAS ..................................................................................................................... 5

1. INTRODUCCIÓN .................................................................................................................... 6

2. ANTECEDENTES DEL PROBLEMA................................................................................... 7

3. REVISIÓN DE LA LITERATURA ........................................................................................ 7

4. METODOLOGIA ..................................................................................................................... 8

5. ANÁLISIS Y DISCUSIÓN .................................................................................................... 13

5.1 DIAGNOSTICO .................................................................................................................... 13

5.2 DESCRIPCION DEL PRODUCTO ................................................................................... 14

5.3 HALLAZGOS O FENOMENOS ENCONTRADOS ........................................................ 14

5.3.1 Definición de riesgos .......................................................................................................... 15

5.3.2 Matriz Riesgos .................................................................................................................... 16

5.3.3 Matriz de mitigación .......................................................................................................... 18

5.3.4 Definición de indicadores .................................................................................................. 19

5.3.4 Generación de Dashboard:................................................................................................ 19

5.3.4 Discusión y análisis de resultados:.................................................................................... 20

6. CONCLUSIONES, RECOMENDACIONES Y LIMITACIONES: .................................. 21

REFERENCIAS:......................................................................................................................... 22
LISTA DE TABLAS
Tabla 1. Generada al establecer los datos e información para analizar y reflejar en los
indicadores.

Tabla 2. Generada a partir de la definición de categorías y criterios de clasificación de los datos

e información para esta propuesta.

Tabla 3. Obtenida al establecer los parámetros de medición.

Tabla 4. Factores de riesgo que definen los indicadores.

Tabla 5. Obtenida al definir los rangos del análisis de riesgo promedio.

Tabla 6. Generada tras la realización de un ejemplo del análisis de riesgo promedio.

Tabla 7. Matriz de riesgo, base principal del formulario, el dashboard y los indicadores.

Tabla 8. Matriz de mitigación, obtenida a partir de las soluciones encontradas para la mitigación
o intervención de los riesgos, que puedan generarse en los factores definidos en la tabla 1.
1. INTRODUCCIÓN
El conocimiento más una acción es igual a ventaja competitiva; el entorno empresarial actual se
centra en la creación, procesamiento y explotación de datos para generar conocimiento, el
análisis de los mismos mejora la toma de decisiones y aporta a la inteligencia de negocio para así
lograr los objetivos estratégicos de la compañía, por eso es fundamental encontrar el valor de los
datos en la estructura del negocio, su funcionamiento y aporte; el uso de las tecnologías de la
información supone beneficios evidentes para la compañía y en algunos casos para sus clientes,
pero acarrea ciertos riesgos que en caso de no ser atendidos, pueden afectar gravemente a la
compañía o a sectores y procesos específicos; los riesgos que tienen su origen en el uso de
tecnologías de la información, deben trasladarse a los órganos de dirección y contextualizarlos en
la misión de la organización, es ahí donde surge la necesidad de proteger los datos e información.

El conocimiento de los riesgos en calidad de datos e información, permite estabilizar la

confianza en que los sistemas, infraestructura y colaboradores desempeñarán sus funciones como
es de esperarse ya que la gestión de los riesgos es un proceso sistemático que tiene como
finalidad estimar la magnitud de los riesgos a que está expuesta una compañía.
2. ANTECEDENTES DEL PROBLEMA
Riesgo: "Del ant. riesco 'risco', por el peligro que suponen. (RAE, n.d.)

1. m. Contingencia o proximidad de un daño"

Se puede decir entonces que el riesgo siempre ha existido, con el paso del tiempo las diferentes
culturas comenzaron a analizar desde un aspecto cualitativo y cuantitativo, los diferentes factores
que afectaban la producción de alimento o cuanto riesgo implica la presencia de depredadores;
actualmente estamos en la era digital, donde existen múltiples eventos políticos, económicos,
operativos y de mercado, que pueden afectar con diferente intensidad y en momentos
específicos, esto quiere decir que se mide en probabilidad e impacto, entonces puede ser que
acarre problemas reputaciones, de infraestructura que en ocasiones pueden reducirse a
financieros y que realmente pueden llegar a afectar a la seguridad nacional o departamental
además de la propia empresa.

La necesidad de proteger la información surgió con la recolección de datos sensibles y poder

respaldar la confidencialidad, la integridad y disponibilidad de la información, cabe mencionar
que en el año 1971 un mensaje apareció en una cantidad considerable de pantallas de
computadores ARPANET, este mensaje solo navegaba en la red replicándose a sí mismo, el
mensaje era nada más y nada menos que ”I’m a creeper… catch me if you can”(Rusty Willow,
2014), es un claro ejemplo de que siempre ha existido el riesgo de que algo no deseado suceda.

A través de la gestión del riesgo podemos anteponernos a un sinnúmero de situaciones, que

pueden poner en riesgo directa o indirectamente los datos de la compañía, por eso es necesario
implementar un modelo que permita el análisis de las variables de riesgo y crear planes de
mitigación.

3. REVISIÓN DE LA LITERATURA
Se fundamentaron las bases de la seguridad de la información en 1980, tras la publicación de un
documento escrito por James P. Anderson y titulado Computer Security Threat Monitoring and
Surveillance que traduce al español Supervisión y Vigilancia de Amenazas de Seguridad
Informática, donde concluyo que al implementar un sistema de gestión de monitoreo de
seguridad, es necesario comprender los tipos de amenazas y ataques que se pueden producir en
nuestro sistema, y cómo estas amenazas pueden manifestarse en los datos de auditoría, también
es importante comprender las amenazas y sus fuentes, desde el punto de vista de la identificación
de otros datos por las que la amenaza puede ser reconocida (Anderson, 1980), complemento lo
anterior con lo escrito por Magdalena Reyes en el primer capítulo de Definiciones e Historia de
la seguridad informática donde expresa que a través de la seguridad informática protegemos este
activo que es la información y es fundamental para el funcionamiento de la compañía (Granados,
2011), cabe aclarar que a través de la seguridad de la información estamos garantizando la
seguridad de los datos.

En el mercado actual podemos encontrar diferentes softwares especializados que bajo diferentes
metodologías realizan la gestión de riesgos como es el caso de @Rick desarrollado por Palisade
que utiliza la simulación MonteCarlo, integración y cálculos 100% en Excel, para obtener
múltiples resultados posibles en un modelo de hoja de cálculo, indica la probabilidad de que esos
riesgos se terminen materializando, otros excelentes y completos productos del mercado son SE
Rick y RiskyProject Professional el cual se puede integrar con Microsoft Project y Oracle
Primavera.

La propuesta muestra similitud con los modelos de claves de riesgo KRI y se concluye que es
necesario presentar gráficamente los indicadores ya que permite convertir los datos en
información fundamental para alcanzar los objetivos del negocio y su interpretación es sencilla,
clara y concisa.

4. METODOLOGIA
Por su finalidad es aplicada, ya que presenta una propuesta estructurada como formulario con
medición de indicadores que permita analizar, evaluar y comprobar la seguridad de los datos
desde las probabilidades de amenaza e impacto, y por su carácter se pretende comprender y
analizar los factores de riesgos siendo así de aspecto cualitativo.

Por sus fuentes es de tipo mixta ya que los datos son recolectados por terceros y con diferentes
fines y también de primera mano, teniendo como referencia la ISO 27001 Buenas prácticas para
gestión de la seguridad de la información, que tiene como principal objetivo establecer
directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la
seguridad de la información en una compañía, desde el Ciclo de Deming PDCA: Plan, Do,
Check, Act (Planificar, hacer, verificar y actuar) y así mejorar el sistema de gestión de la
seguridad de la información (SGSI) en la compañía (ISOTools, 2019); con base en lo anterior se
realizó una lista de datos e información fundamental para una compañía en la ciudad de
Medellín.

Tabla1. Datos e información de la compañía

Se debe clasificar la información de la Tabla1. para así ser evaluada correctamente desde los
indicadores: (Puede hacer parte de las tres):

Tabla2. Clasificación de los datos e información

Al clasificar los datos e información será más claro definir el impacto que estos tendrán en caso
de que el riesgo se materialice y la probabilidad de amenaza de los mismos

Tabla3. Impacto y probabilidad

Se presentan 3 secciones que permiten valorar los riesgos que podrían causar perjuicio de
disponibilidad, confidencialidad, integridad y autenticidad de la información o de los datos
institucionales, de las cuales se derivan los factores claves para el análisis de los indicadores y se
miden bajo los parámetros de Probabilidad de Amenaza como se observa en la Tabla 3.

PROBABILIDAD DE AMENAZA
Actos originados por la
criminalidad común y
motivación política
Allanamiento (ilegal, legal)
Persecución (civil, fiscal, penal)
Orden de secuestro / Detención
Sabotaje (ataque físico y
electrónico)
Daños por vandalismo
Extorsión
Sucesos derivados de la
impericia, negligencia de
Sucesos de origen físico
usuarios/as y decisiones
institucionales
Falta de inducción, capacitación y
Incendio
sensibilización sobre riesgos
Mal manejo de sistemas y
Inundación / deslave
herramientas
Utilización de programas no
Sismo
autorizados / software 'pirateado'
Falta de pruebas de software nuevo
Polvo
con datos productivos
Falta de ventilación Perdida de datos
Infección de sistemas a través de
Electromagnetismo
unidades portables sin escaneo

Fraude/Estafa
Robo/Hurto (físico) Falla de corriente (apagones)
Robo/Hurto de información Falla de sistema / Daño disco
electrónica
Intrusión a Red interna
Infiltración
Ejecución no autorizado de
programas
Violación a derechos de autor
Manejo inadecuado de datos
Sobrecarga eléctrica
críticos (codificar, borrar, etc.)
Unidades portables con
información sin cifrado
Transmisión no cifrada de datos
duro críticos
Manejo inadecuado de contraseñas
(inseguras, no cambiar,
compartidas, BD centralizada)
Compartir contraseñas o permisos a
terceros no autorizados
Transmisión de contraseñas por
teléfono
Exposición o extravío de equipo,
unidades de almacenamiento, etc.
Sobrepasar autoridades
Falta de definición de perfil,
privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software
(proceso y recursos)
Fallas en permisos de usuarios
(acceso a archivos)
Acceso electrónico no autorizado a
sistemas externos
Acceso electrónico no autorizado a
sistemas internos
Red cableada expuesta para el
 acceso no autorizado

Red inalámbrica expuesta al acceso

no autorizado
Dependencia a servicio técnico
externo
Falta de normas y reglas claras (no
institucionalizar el estudio de los
riesgos)
Falta de mecanismos de
verificación de normas y reglas /
Análisis inadecuado de datos de
control
Ausencia de documentación
Tabla 4. Factores de análisis para los indicadores – hacen parte del formulario principal.

De acuerdo la clasificación de los datos, el impacto y la probabilidad los cuales se multiplican

entre sí, sé obtienen un rango entre 1 y 16, se dividen en tres rangos que definirán finalmente el
estado del promedio actual de los riesgos en cuestión de seguridad de datos desde los tres
indicadores claves.

Tabla 5. Análisis promedio del riesgo

A continuación, veremos un ejemplo de los indicadores y el análisis promedio de riesgo:

Tabla 6. Ejemplo del Análisis de riesgo promedio

5. ANÁLISIS Y DISCUSIÓN
Para cualquier compañía y proyecto debe ser de primera necesidad estar presente en el mundo
digital y así aumentar el alcance que tiene sobre su mercado, evidentemente al estar en la red,
bien sea para simplificar los procesos dentro de la compañía o para captar más clientes, tiene sus
riesgos, adicional a eso debido a la falta de inversión en la gestión de riesgos desde la seguridad
en los datos surge la pregunta ¿qué podemos hacer desde nuestra posición para que las
compañías implementen modelos de gestión de riesgos? Como se ha evidenciado en los últimos
años la transformación del enfoque de modelos de evaluación y gestión de riegos, “Un
importante cambio de visión en cuando a la gestión de riesgos: de un enfoque de gestión
tradicional hacia una gestión basada en la identificación, monitoreo, control, medición y
divulgación de los riesgos.” (Editorial, 2000) como parte de esta transformación es fundamental
la implementación de herramientas para evitar contratiempos en el cumplimiento de los objetivos
estratégicos.

5.1 DIAGNOSTICO
Es aquí donde surge esta propuesta que busca facilitar la implementación de las herramientas
para la gestión de riesgos en seguridad de datos, a través de un dashboard que permite la
evaluación y análisis de los datos e información desde tres indicadores, que se centran realmente
en los aspectos principales que a la compañía le conciernen, como lo son el aspecto político,
sucesos de origen físico e institucional; al identificar los puntos de riesgos es más sencillo
implementar planes de acción y mitigación.

Es importante incluir dentro de la gestión de riesgos el marco de apetito al riesgo (RAF, por sus
siglas en inglés: Risk Appetite Framework) que se define como el nivel máximo que una
compañía puede soportar y es determinado bajo el capital disponible, establece finalmente el
perfil de riesgo, por ello debe ser definido por los directivos, teniendo en cuenta los principios
que este debe tener:

 Establecer la cantidad de riesgo a asumir para lograr sus objetivos.

 Debe incluir todos los departamentos y sectores, así como las áreas de negocio, debe ser
integral.
  Es fundamental vincular la información definida en los planes de negocio y estratégicos.

 Flexible, logrando así adaptarse a los cambios del entorno y del mercado.

“Entendemos como tolerancia al riesgo el nivel máximo de desviación aceptable respecto

al apetito al riesgo. Se fija con el establecimiento de límites.” (Riesgo, 2017)

5.2 DESCRIPCION DEL PRODUCTO

La implementación de este sistema de gestión en las compañías permite analizar las variables del
entorno, logrando así evaluar y medir los eventos de que afectan la seguridad de los datos.

Estructurado como formulario se da paso a la clasificación de los datos y la información,

posteriormente se define el impacto o la magnitud de daño que puede causar la información
clasificada, para finalizar se identifican y miden las probabilidades de las amenazas en cuanto los
actos originados por la criminalidad común y motivación política, sucesos de origen físico y
sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales,
haciendo uso de las formulas estadísticas de probabilidad, se procesan los datos y se obtiene el
Análisis de Riesgo promedio, el cual se ve reflejado en un dashboard con tres indicadores claves
que permitirán analizar la seguridad de los datos y que generan alertas en tiempo real que
permiten identificar cuáles son los frentes más vulnerables y que se deben contrarrestar para
evitar ataques futuros o incluso inmediatos.

Previo a la implementación de los indicadores, se deben plantear tres preguntas clave que
apoyaran el desarrollo del formulario y facilitaran la comprensión de los indicadores:

 ¿Cuáles son las vulnerabilidades de la compañía?

 ¿En cuántas ocasiones se han sufrido ataques?

 ¿Cuál es el interés de los terceros en atacarnos?

5.3 HALLAZGOS O FENOMENOS ENCONTRADOS

El análisis cualitativo es fundamental para identificar que datos o información es crucial para las
compañías y factores de riesgo desde lo político, físico o natural e institucional; el análisis
cuantitativo sólo se realizará sobre los riesgos que, tras la valoración cualitativa presenten una
mayor probabilidad de que ocurran o bien, que tengan un mayor impacto potencial sobre la
compañía; ayuda a establecer una clasificación de los riesgos en función de la probabilidad que
tienen de materializarse, así como del impacto de los mismos, es decir, sobre las consecuencias
que podrían tener en la compañía en caso de ocurrir, posteriormente, la finalidad de todo esto se
resume en el impacto de los riesgos sobre los objetivos finales (Operativos, financieros y demás),
es ahí donde el equipo determinado de la compañía debe analizar y ampliar la visión de los
riesgos y apoyarse de esta gestión para la mejora continua.

5.3.1 Definición de riesgos

La falta de seguridad de datos e información puede acarrear riesgos desde diferentes aspectos o
áreas dentro de la compañía:

 Riesgos operativos: Desde la corrupción de archivos, hasta la perdida de repositorios; es

aquel que puede llevar a pérdidas de procesos, calidad e inclusive legal, debido a fallos
en el sistema, error humano, procesos defectuosos o inadecuados.

 Riesgo estratégico: Afectan directamente al corazón de la compañía, ósea que genera

daños en la estrategia empresarial y/o los objetivos estratégicos. El profesor Mario Héctor
Vogel afirma que el 99% de compañías no gestiona la prevención del riego estratégico,
un factor clave en la falencia es que la responsabilidad reside los altos cargos y hay
problemas de compromiso por parte de los mismos. (Prof. Mario Héctor Vogel, 2013)

 Riesgo reputacional: Acceso de personal no autorizado a información sensible de los

colaboradores, o acceso no deseado de personas malintencionadas a las redes sociales
oficiales de la compañía; Los riegos reputaciones son aquellos que traen consigo
consecuencias negativas para el buen nombre y la reputación de la entidad.

 Riesgos financieros: Aquellos riesgos que al materializarse pueden llevar a la pérdida

económica, hasta la banca rota. Podemos concluir que el riesgo financiero es siempre una
posibilidad dentro de los demás riesgos, por ejemplo, un riesgo estratégico materializado
de alto impacto puede llevar a la quiebra.
Se debe tener presente que algunos riesgos acarrean otros, así que es recomendable tener una
visión global sobre los riesgos y predecir futuros comportamientos, riesgos o situaciones
difíciles.

5.3.2 Matriz Riesgos

La matriz de riesgo da paso a la identificación y evaluación de los riesgos presentes en la
compañía, para así tomar medidas preventivas y de mitigación, adicional a esto también permite
calificar la efectividad desde la gestión y adecuada administración de los riesgos teniendo en
cuenta que la gestión de riesgos en la seguridad de los datos, impacta directamente a la
compañía.
 Tabla7. Matriz de riesgo para la seguridad de los datos y la información

5.3.3 Matriz de mitigación

Contiene organizadamente los planes de mitigación, los cuales reducen la exposición al riesgo,
que realmente es la función de la probabilidad de ocurrencia del riesgo y el impacto de este
riesgo en la compañía; es el resultado de múltiples actividades y estrategias que establecen
acciones de carácter preventivo e inmediatas para así controlar o prevenir los riesgos. (Gamboa,
2017)

“Reducir el riesgo, compartir o transferir el riesgo, eliminar el riesgo y aceptar el riesgo”.

(ISOTools, n.d.)

Tabla8. Matriz de mitigación

5.3.4 Definición de indicadores
El indicador de riesgo es una herramienta fundamental que se emplea para monitorear y mitigar
los impactos de posibles amenazas:

 Criminalidad y Político: Desde la medición del crimen podemos identificar las diferentes
y principales tendencias, o características de los delitos que podrían afectar a la compañía
en cuestión de seguridad de los datos; son actos originados por la criminalidad común y
motivación política.

 Sucesos de origen físico: Analizar las pérdidas directas no solo desde el riesgo ambiental
como lo dicta la ISO 14001, sino también desde el daño físico ocasionado por el deterioro
de la infraestructura, daño de equipos o maquinaria.

 Negligencia institucional: Evalúa aspectos fundamentales de las buenas practicas,

analizando también la calidad integral institucional, empresarial y a nivel de personal
evidenciando así la responsabilidad empresarial con respecto a la seguridad de los datos y
la información.

5.3.4 Generación de Dashboard:

¿Cómo interpretar el sistema de medición? Al ingresar los datos e información correspondiente
sobre la compañía, se le da paso al dashboard, esta será la herramienta clave para analizar de
manera visual los indicadores de riesgo y datos fundamentales para así identificar las
vulnerabilidades; “Un dashboard proporciona al usuario una serie de diferentes maneras de
mostrar los datos gráficamente. Se debe discutir las opciones disponibles para la presentación y
la funcionalidad del dashboard” (Robalino Martínez, 2017), con base en lo anterior se establecen
los siguientes parámetros:

 Dinámico e interactivo, dando al usuario la posibilidad de configurar el dashboard de

acuerdo a sus necesidades de consulta y control, facilitando la interpretación de los
resultados.

 Apertura o despliegue de contenido, también modificación del mismo a través de gráficos

permitiendo una interpretación personalizada.
  Alertas que indican las vulnerabilidades más urgentes.

 Exacto e intuitivo, la información que se presenta es precisa y los usuarios no requieren

de un arduo proceso de aprendizaje.

 Basado en web, seguro y adaptativo.

5.3.4 Discusión y análisis de resultados:

La información requiere ser protegida y basarse en tres pilares: integridad, confidencialidad y
disponibilidad, así que las compañías deben resaltar la importancia de actividades de monitoreo y
control, para disminuir los riesgos; es importante implementar el ciclo de Deming PDCA para ir
de la mano con la ISO/IEC 27001 que es el estándar para la seguridad de la información.

La realidad es que la compañía puede sufrir un incidente que afecte el proceso en cualquier
momento, lo que realmente es importante aquí es mitigarlos (prevenir), ya que dependiendo de la
forma en la que se gestionen estos incidentes las consecuencias pueden tener un gran o menor
impacto.

Al implementar correctamente el dashboard e interpretar los indicadores, surgirán los planes de

mitigación que permitirán minimizar la ocurrencia o los efectos colaterales, esto de acuerdo con
los siguientes enfoques:

1) Detectar el riesgo

2) Plantear controles y efectuar las implementaciones respectivas.

3) Mitigar el riesgo.
6. CONCLUSIONES, RECOMENDACIONES Y LIMITACIONES:
 Los indicadores de riesgo permiten tener una visión más completa e integral del problema
del riesgo y su manejo dentro de la compañía. No se trata de precisar una problemática en
forma exacta, sino de estimar su posibilidad y magnitud de daño (probabilidad e
impacto), para tomar decisiones oportunas y enfocarse en los riesgos más urgentes.

 Es necesaria la implementación de un plan de gestión de riegos que permita proteger el

activo más valioso de la compañía: la información.

 Es indispensable implementar un plan de gestión de riesgo que permitirá prevenir las

posibles amenazas encontradas en la infraestructura tecnológica de la entidad.

 Elaborar un programa de capacitación en temas de ciberseguridad y políticas de

seguridad de la información, para todos los funcionarios de la compañía, ya que es de
vital importancia el compromiso de todos.

 A pesar de la gran variedad de softwares especializados en gestión de riesgos, aun no se

invierte lo suficiente en seguridad de la información.

 Cada compañía debe realizar su propio plan de mitigación de riesgos, ya que los sistemas
y las circunstancias varían.

 Los indicadores de riesgos son necesarios en cualquier proyecto o compañía porque

fortalecen la cultura de riesgo dentro de la organización.

 El seguimiento constante a los procesos y la implementación del plan de mitigación de

riesgo de seguridad de la información deben ser ejecutados, monitoreados y actualizados
frecuentemente.

 La implementación de un dashboard facilita la interpretación de la gestión de riesgos.

REFERENCIAS:
Anderson, J. P. (1980). Computer security threat monitoring and surveillance. Technical Report
James P Anderson Co Fort Washington Pa, 56. https://doi.org/citeulike-article-id:592588

Editorial. (2000). Matriz de Riesgo, Evaluación y Gestión de Riesgos. Editorial, 8.

Gamboa, B. (2017). Plan de gestión del riesgo en seguridad y privacidad de la información. 31.
http://lospatios-nortedesantander.gov.co/Conectividad/InformesGEL/GT-D-02 PLAN DE
GESTION DEL RIESGO EN SPI.pdf

Granados, M. R. (2011). Definiciones e historia de la seguridad informática. Universidad

Nacional Autónoma de México, 5–47.
http://www.ptolomeo.unam.mx:8080/jspui/bitstream/132.248.52.100/217/4/A4.pdf

ISOTools. (n.d.). LA INFORMACIÓN PERSONAL EN INTERNET Y SUS CONSECUENCIAS

Índice.

ISOTools. (2019). ¿Qué es la ISO 27001?

https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

Prof. Mario Héctor Vogel. (2013). Riesgo Estratégico: el 99% NO Hace Prevención.
https://www.tablerodecomando.com/riesgo-estrategico-no-hace-prevencion/

RAE. (n.d.). Real Academia Española. https://dle.rae.es/?formList=form&w=riesgo#

Riesgo, A. L. (2017). Marco de apetito y tolerancia al riesgo.

Robalino Martínez, A. D. (2017). Metodología para el diseño de Dashboards orientado hacia el

registro de evidencias en el proceso de evaluaciones institucionales. 88.

Rusty Willow. (2014). info Rusty: Creeper: El primer virus ¿ficción o realidad?
Http://Inforusty.Blogspot.Com/2014/09/Creeper-El-Primer-Virus-Ficcion-o.Html.