GESTIÓN DE RIESGOS Y CONTROLES EN SISTEMAS DE INFORMACIÓN:

DEL APRENDIZAJE A LA TRANSFORMACIÓN ORGANIZACIONAL.

DOCENTE: Carlos David Cardona Arenas

ESTUDIANTE: Luis Alfonso Vasco
Gerencia en Mercadeo estratégico y Comercialización
ESTUDIANTE: Juan Pablo Osorio Franco
Gerencia de Finanzas

UNIVERSIDAD AUTÓNOMA DE MANIZALES

MANIZALES – COLOMBIA
2.021.
 OBJETIVO.
Evaluar por medio de diferentes estudios, los riesgos a los que se encuentran
sometidos los sistemas de información de la organización y como protegerlos
generando planes de control que mitiguen todos los escenarios; identificar además
de los activos críticos y diseñar estrategias de tratamiento y protección basados en
la documentación para llegar a una transformación organizacional.

ESTRATEGIAS.
1. ESTABLECER EL CONTEXTO ORGANIZACIONAL: Identificar el tipo de
actividad a la cual esta denominada la organización, dando paso a la
identificación de sus funciones y responsabilidades que permiten detectar la
integración de las sub actividades y el diseño de los métodos para
establecer el contexto, teniendo como principales ejecutores los
administradores de la organización y el comité de seguridad, observando la
capacidad de definir estrategias que están asociadas a los sistemas de
gestión. Los jefes de departamento o administradores ejecutaran listas de
verificación para determinar las necesidades organizacionales y también
podrán revisar la documentación expresa en las políticas organizacionales.

2. IDENTIFICAR LOS ACTIVOS CRÍTICOS: La identificación de los activos

de seguridad con los que cuenta las organizaciones serán aquellos
denominados que están incurriendo en los procesos de verificación,
servicios y soportes, planteando comparaciones que detectan las
integraciones y el diseño de los métodos, para este tipo de identificación de
los activos se considera catalogar los activos que serán vulnerables al
control de la política y estrategia, considerando otra actividad que será la
claridad de la información sensible y critica, para la mitigación de estos
procesos se puede realizar la revisión de los bases de datos determinando
el nivel de riesgo.

3. IDENTIFICAR Y EVALUAR LAS AMENAZAS Y VULNERABILIDAD DE

LOS ACTIVOS CRÍTICOS: Como primer proceso que está inmerso en la
actividad mencionada será la identificación y evaluación de los actos o
actividades que pueden violar y atentar contra los sistemas de seguridad,
permitiendo plantear comparaciones entre diferentes activos de la
compañía en el desarrollo de sus actividades, este proceso está en cabeza
de la dirección de tecnología de la información determinando el esquema
de las amenazas, vulnerabilidad y activos de los sistemas de información
utilizando el catalogo propuesto por el ministerio de administraciones
públicas.
4. DISEÑAR ESCENARIOS DE RIESGOS CON RESPECTO A SU IMPACTO
ORGANIZACIONAL: Como mitigación de los diferentes riesgos a los que
está expuesto la organización deberá contar con las herramientas
necesarias para la medición y actuación. Como muy bien se sabe todos los
sistemas tecnológicos están expuestos a cantidad de riesgos, es muy
importante poder contar con la identificación de las causas y verificar como
puede ser abordado para mitigar este riesgo, para ello se puede establecer
una base de datos determinando los escenarios de riesgos y su
probabilidad será medido de acuerdo a una tabla de clasificación del riesgo
como estrategia y así determinando el impacto de magnitud del daño
ocasionado a los activos.

5. DISEÑAR ESTRATEGIAS DE TRATAMIENTO Y PROTECCIÓN: Como

proceso de mitigación de los riesgos a los activos es el diseño de las
estrategias de tratamiento más adecuada para las organizaciones no solo
en costo – beneficio sino la optimización de los recursos para la
implementación, la elaboración de plan para el tratamiento del riesgo
permitiendo llevar a cabo las estrategias de manera organizada para una
buena toma de decisiones con base a los estándares organizacionales,
priorización del riesgo, opciones de tratamiento, descripción de los
resultado, delegar personal responsable de la implementación de la
estrategia, fechas probables de implementación y descripción de las
actividades realizadas con resultados.

6. DOCUMENTACIÓN DE RESULTADOS Y REVISIÓN DE CASOS:

Documentar y evidenciar los resultados del plan estratégico es el principal
objetivo que puede permitir a las organizaciones verificar que tanto ha sido
la efectividad y ver en qué proceso se presenta falencias para retornar a
una retroalimentación del plan y poder ejecutarlo a cabalidad y obtener los
resultados esperados sobre las situaciones de riesgo presentada en la
revisión de los casos y verificar también su efectividad con que se ejecuta.

7. MONITOREO Y CONTROL: permite la evaluación y el control de las

estrategias diseñadas para la mitigación del riesgo que se tiene propuesto.
Un constante monitoreo que este bien estructurado y administrado podrá
realizar una efectiva evaluación los controles de seguridad generando
procesos de determinación e información esencial para el estado de
seguridad de las organizaciones como herramientas eficaces para producir
cambios en el entorno de los planes de seguridad.