Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mexmasi02t1trab2 Ok PDF
Mexmasi02t1trab2 Ok PDF
Actividades
I. Introducción
Para la elaboración del Plan Director de Seguridad de la Información para la
compañía Bancaria, es necesario la identificación de los riesgos a la que está
expuesta, de tal forma que sea posible el análisis y gestión de los riesgos,
permitiendo así mitigarlos y que la compañía no se vea afectada en la
continuación de sus operaciones y el negocio.
Para el análisis y gestión de riesgos se deberá elegir la metodología que más
convenga para la elaboración del PDSI, para ello se revisa las metodologías
existentes.
Es importante mencionar que el PDSI se elabora a la medida de las necesidades
de la compañía, ya que no es posible copiar de otras compañías, entendiendo
que cada uno tiene sus propios riesgos y estrategias de gestión que se plantean
de acuerdo a su propia realidad.
(Hurtado, 2018)
Estas tres fases reúnen ocho procesos, siendo estos: identificar el
conocimiento de los altos directivos, identificar el conocimiento de los
directivos de áreas operativas, identificar el conocimiento del personal,
crear perfiles de amenaza, identificar componentes claves, evaluar los
componentes seleccionados, realizar un análisis de riesgos y el desarrollo de
una estrategia de protección. Estos procesos permiten identificar todos los
riesgos en cada uno de los niveles de los que consta la empresa u
organización donde se vaya a realizar dicho análisis de riesgos. (Piedra &
Jácome, 2011)
b. Magerit
Metodología cuyo acrónimo es “Metodología de análisis y Gestión de
Riesgos de IT” elaborada por el Consejo Superior de Administración
Electrónica de España. Esta metodología se orienta hacia la investigación y
análisis de riesgos que se presentan dentro de la tecnología de información.
Esta metodología define 5 pasos para determinar los riesgos, siendo estos:
1. Determinar los activos relevantes para la Organización, su interrelación
y su valor, en el sentido de qué perjuicio (coste) supondría su
degradación
2. Determinar a qué amenazas están expuestos aquellos activos
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al
riesgo
4. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza
(coordinación de contenidos, General de Modernización Administrativa,
& Impulso de la Administración Electrónica, 2012)
Todas las consideraciones anteriores desembocan en una calificación de
cada riesgo significativo, determinándose si es crítico, grave, apreciable y
asumible, análisis que corresponde a la gestión de riesgos. A partir de aquí,
las decisiones son de los órganos de gobierno de la Organización que
actuarán en 2 pasos: Paso 1: evaluación y paso 2: tratamiento
Magerit cuenta con un software denominado PILAR para soportar el
análisis y la gestión de riesgos de sistemas de información. Las siglas de
Figura 1: Modelo de procesos de operaciones con notación BPMN del Banco FinanSeguro
(4)
Mayor
(3)
Moderado
(2)
Menor
(1)
Insignificante
Probabilidad
Leyenda
IV. Conclusión
La metodología de análisis y gestión de riesgos adaptada a la necesidad del
banco considera las fases y procesos identificados en el estudio de las
principales metodologías de análisis de riesgos descritos en el presente trabajo,
además de los principios mencionadas en las normas ISO 27005 e ISO 31000.
La metodología propuesta está enfocada en la mejora continua del ciclo de
Deming, considerando que el análisis y gestión de riesgos es un proceso y como
tal es cíclico. El riesgo es cambiante y como tal, las estrategias de protección
también deben ser cambiante, que responda a la realidad y necesidad.
Finalmente, el desarrollo de las fases se materializa en la Matriz Final de
Análisis y Gestión de Riesgos (Tabla 4), donde se considera también el cálculo
del riesgo residual, cuyo valor se obtendrá después de la implementación de las
medidas de mitigación propuestas o estrategias de protección, esto permitirá
que se mantenga activo el ciclo de Deming y como consecuencia el control de los
riesgos, asegurando la continuidad de las operaciones y del negocio del banco
FinanSeguro.
V. Bibliografía
Alemán, H., & Rodríguez, C. (2019). Vista de Metodologías para el análisis de riesgos
en los sgsi | Publicaciones e Investigación. Retrieved from
https://hemeroteca.unad.edu.co/index.php/publicaciones-e-
investigacion/article/view/1435/1874
Comité Técnico CTN 307 Gestión de Riesgos. UNE-ISO 31000: Gestión de Riesgos
Directrices . , AENOR INTERNATIONAL S.A.U. § (2018).
coordinación de contenidos, E., General de Modernización Administrativa, D., &
Impulso de la Administración Electrónica, P. (2012). Magerit versión 3.0:
Metodología de análisis y gestión de riesgos de los Sistemas de Información.
Libro I: Método. Retrieved from http://administracionelectronica.gob.es/
Gonzalez, H. (2018, October 3). ISO 31000:2018-DIRECTRICES PARA GESTION DE
RIESGOS – Calidad & Gestion – Consultoría para Empresas. Retrieved November
29, 2020, from https://calidadgestion.wordpress.com/2018/10/31/iso-31000-
2018-directrices-para-gestion-de-riesgos/
Huerta, A. (2012, March 30). Introducción al análisis de riesgos - Metodologías (I) -
Security Art Work. Retrieved November 30, 2020, from
https://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-riesgos-
metodologias-i/
Hurtado, M. (2018). GESTIÓN DE RIESGO METODOLOGÍAS OCTAVE y MAGERIT.
Retrieved from http://polux.unipiloto.edu.co:8080/00004420.pdf
ISO 31000:2018(es), Gestión del riesgo — Directrices. (2018). Retrieved November 29,
2020, from 31000:2018 website:
https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es
Kowask, E., Fabiano, B., Lima, A., Motta, A. C., Dimmit, J., & Piccolini, B. (2014).
Gestión del riesgo de las TI NTC 27005 (Versión ES). Retrieved from
https://cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI9.pdf
Moncayo, D. (2014). Modelo de evaluación de riesgos en activos de TIC’S para
pequeñas y medianas empresas del sector automotriz (ESCUELA POLITÉCNICA
NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS). Retrieved from
https://bibdigital.epn.edu.ec/bitstream/15000/8499/3/CD-5741.pdf
Piedra, M., & Jácome, P. (2011). Análisis de Riesgos Informáticos y Elaboración de un
Plan de Contingencia T.I. para la Empresa Eléctrica Quito S.A. Escuela
Politécnica Nacional / Facultad de Ingeniería de Sistemas, Quito .
Torres, S., & Rojas, J. (2017). MODELO DE GESTIÓN DE RIESGOS APLICANDO
METODOLOGÍA OCTAVE ALLEGRO EN ENTIDADES DEL SECTOR
FIDUCIARIO (UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS).
Retrieved from
http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandr
aMilena2017.pdf
Vásquez, J. (2015). METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y
GESTIÓN DE RIESGOS - ppt video online descargar. Retrieved November 30,
2020, from https://slideplayer.es/slide/5503051/
Velasco, R. (2018). GESTIÓN DEL RIESGO BASADO EN ISO/IEC 27005:2009 –
ISO/IEC 31000:2011 ISO/IEC 28000:2008. Retrieved from
http://polux.unipiloto.edu.co:8080/00002323.pdf