El análisis y gestión de los riesgos a través dela Metodología MAGERIT 9, resulta de
gran importancia en el funcionamiento de toda organización la empresa porque
permite generar conciencia de su existencia, examinarlos, tratarlos y por ende la debida preparación para enfrentar a las auditorias, certificaciones o acreditaciones gubernamentales. 9 BOCANEGRA QUINTERO, Yamilet, Análisis y gestión de riesgos de los sistemas de información de la alcaldía municipal de Tuluá aplicando la metodología MAGERIT. Obtenido de http://repository.unad.edu.co/handle/10596/3632 10 ESPAÑA, MINISTERIO DE HACIENDA Y ADMINISTRACIONES PUBLICAS, MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I – Método, octubre 2012.- NIPO: 630-12-171-8. Disponible en: https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mag erit.html#.WNxY_G81_IU El análisis y gestión de riesgos se plantea como uno de los principales pilares para resguardar la seguridad , la cual se traza desde la capacidad de todo el sistema tecnológico para enfrentar los diversos ataques a que pueden ser susceptibles, ganando así altos niveles de confianza en la misma. entendida como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o mal intencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles10 . Actualmente se encuentra vigente MAGERIT versión 3 por lo tanto, la investigación seguirá los libros y las Guía de Técnicas que la integran, pues implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los interesados tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. El Proceso de Gestión de Riesgos, como se señala en libro I de la Metodología (página 19), es un conjunto de actividades encaminadas al análisis del riesgo para establecer cómo es, cuánto vale y que tan protegido se encuentra el sistema de acuerdo a sus objetivos, políticas y estrategias a fin de elaborar el respectivo plan 37 de seguridad. De igual modo, se establece una segunda etapa que concierne al tratamiento de los riesgos (página 19), para enfrentar en la debida forma las situaciones que se sobrevengan. Figura 3 Gestión de Riesgos Gestión de Riesgos I. Análisis II. Tratamiento Fuente: Metodología Magerit V3. La metodología MAGERIT propone el siguiente esquema para la gestión de los riesgos: Figura 4 Proceso de gestión de riesgos (ISO: 31000) Fuente: Metodología Magerit V3. En virtud de lo expuesto, se pretende desarrollar los siguientes ítems: 38 Método de análisis de riesgos: Permitirá determinar los activos, las amenazas a las que están expuestos, las salvaguardas dispuestas y el impacto o el daño sobre el activo derivado de la materialización de la amenaza. Esto, con el fin de estimar el riesgo. Análisis del riesgo: Permitirá determinar los impactos y riesgos. Los impactos recogen los daños posibles y los riegos el daño probable. A partir del análisis efectuado se puede determinar que se quiere proteger y como. Es decir, es la evaluación y tratamiento en sí mismas consideradas. Tratamiento del riesgo: Permite eliminar o mitigar el riesgo. Determinación del plan de seguridad. Permite materializar las decisiones adoptadas para el tratamiento del riesgo. 7.5 MARCO LEGAL Se presenta las siguientes normas y leyes como pilares de la protección de la información y su preservación: Ley estatutaria 1266 de 2008 (Diciembre 31): Disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países11. 11 COLOMBIA, SECRETARIA DEL SENADO. Ley 1266 de 2008. Consultado el 10 de Junio de 2018 en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html 39 Decreto 1151 de 2008 (Abril 14). Por el cual se establecen los lineamientos generales de la Estrategia de Gobierno en línea de la República de Colombia, se reglamenta parcialmente la Ley 962 de 2005 y se dictan otras disposiciones 12. 12 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Decreto 1151 de 2008. Consultado el 10 de Junio de 2018 en: https://www.mintic.gov.co/portal/604/articles-3643_documento.pdf 13 COLOMBIA, SECRETARIA DEL SENADO. Ley 1273 de 2009. Consultado el 10 de Junio de 2018 en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1273_2009.html. 14 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Ley 1581 de 2012. Consultado el 10 de Junio de 2018 en: https://www.mintic.gov.co/portal/604/w3-article-4274.html. 15 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Decreto 1377 de 2013. Consultado el 10 de Junio de 2018 en: https://www.mintic.gov.co/portal/604/w3-article-4274.html. 16 COLOMBIA, MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Ley 1341 de 2009. Consultado el 10 de Junio de 2018 en: https://www.mintic.gov.co/portal/604/w3-article-3707.html. 17 NORMAS ISO. ISO/IEC 27001:013. Consultado e 10 de Junio de 2018 en: http://www.normas-iso.com/iso-27001/ Ley 1273 de 2009 (Enero 05): De la protección de la información y de los datos - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones13. Ley 1581 de 2012 (Octubre 17). Por la cual se dictan disposiciones generales para la protección de datos personales14. Decreto 1377 de 2013 (Junio 27). Por el cual se reglamenta parcialmente la Ley 1581 de 201215. Ley 1341 de 2009. Por la cual se definen “Principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones - TIC“, se crea la Agencia Nacional del Espectro, entre otras 16. ISO/IEC 27001:2013: Es la norma principal de la serie ISO 27K y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. 17. 40 ISO/IEC 27002:2013: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información 18. 18 MAGERIT. Es una metodología que responde a lo que se denomina Proceso de Gestión de los Riesgos de los sistemas de información19.
Introducción al derecho internacional privado: Tomo III: Conflictos de jurisdicciones, arbitraje internacional y sujetos de las relaciones privadas internacionales