Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿QUE ES MEJOR?
TALLER EVALUATIVO SEMANA 3
¿Qué es Mejor?
ALUMNOS:
JOHN PAUL JASSIN MARTINEZ
PROFESOR:
SANDRA MILENA BERNATE BAUTISTA
MATERIA:
ANALISIS DE RIESGOS INFORMATICOS
CIUDAD
BOGOTÁ- COLOMBIA
AÑO
2019
1
Análisis de Riesgos Informáticos 2019
INDICE
Contenido
INTRODUCCIÓN...............................................................................................................................3
OBJETIVO.........................................................................................................................................3
DESARROLLO DE LA ACTIVIDAD......................................................................................................4
1.METODOLOGIA Y MODELOS PARA LA GESTION DE RIEGOS.....................................................4
2.CARACTERUISTICAS DE ANALISIS MODELO MEHARI................................................................5
3. MATRIZ DE COMAPARACION..................................................................................................6
4. METODO QUE IMPLEMENTARIA.............................................................................................9
CONCLUSIÓN...................................................................................................................................9
BIBLIOGRAFÍA................................................................................................................................10
2
Análisis de Riesgos Informáticos 2019
INTRODUCCIÓN
La implementación de un Sistema de Gestión de Seguridad Informática (SGSI) se encuentra
determinada por la estructura organizacional de las instituciones, lo que abarca características
como: tipo, tamaño, objetivos, servicios, procesos, personal y requerimientos de seguridad que
establece la misma, para lo cual se apoya en estándares internacionales tales como ISO/IEC
27001, norma en la que se describen un conjunto de herramientas corporativas que permiten
establecer un plan de acción para la solución de problemas de seguridad a nivel técnico,
organizativo y legislativo en una empresa. Estos sistemas utilizan como requisitos, estrategias
como el análisis, evaluación y gestión de riesgos dentro del ciclo PHVA (planear, hacer, verificar y
actuar), específicamente lo relacionado con la fase de planear, lo que requiere la selección de
una metodología sistemática que permita obtener una visión clara y priorizada de los riesgos a
los que se enfrenta la organización, identificando los más relevantes y priorizando medidas por
implantar para minimizar la probabilidad de materialización de dichos riesgos o el impacto, en
caso de materializarse
OBJETIVO
Reconocer las características de los métodos de análisis, evaluación y gestión de riesgos
informáticos de
mayor uso en el mundo y establecer las posibles ventajas y desventajas del uso de cada uno, en
la implementación de un modelo al interior de una organización.
3
Análisis de Riesgos Informáticos 2019
DESARROLLO DE LA ACTIVIDAD
Tratamiento del riesgo: se define entonces el riesgo “como una amenaza que explota la
vulnerabilidad de un activo pudiendo causar daños” (ISO 27005, 2018). Es claro entonces que
para estar expuestos al riesgo se hace implícito el uso de la infraestructura de tecnologías y
comunicaciones de la organización.
Gestión del riesgo: se recomienda aplicar el enfoque de procesos para su gestión y definir uno
que se ajuste a las condiciones particulares de la organización, que sea estructurado,
sistemático, riguroso y que produzca como salida un plan de la organización para tratar los
riesgos. Este plan debe incorporar algunos indicadores clave que hagan evidente si la compañía
se encuentra expuesta a niveles de riesgo más altos que los previstos en el plan.
Evaluación del plan de tratamiento del riesgo: como parte del plan se debe incorporar la
posibilidad de hacer una evaluación continua de cada uno de los procesos que se incluyen como
parte del plan de tratamiento de riesgos. El sistema debe ser flexible en tanto permita su ajuste
a elementos sobrevinientes, como el caso de un nuevo virus o amenaza tipo ransomware que
aproveche brechas de seguridad desconocidas hasta el momento en los sistemas operativos o
aplicaciones que se ejecutan en la plataforma.
Identificar los riesgos: la norma ISO 27005:2018 asocia el término incertidumbre a la presencia
de un riesgo; en este sentido, se asocia el riesgo a algún grado de incertidumbre, es decir si
tengo una certeza absoluta de las consecuencias que puede tener una amenaza que se
materializa solo se habla de riesgo por la posibilidad que se presente más no por sus
consecuencias, porque estas ya se tienen en cuenta dentro del plan de tratamiento del riesgo.
4
Análisis de Riesgos Informáticos 2019
5
Análisis de Riesgos Informáticos 2019
Metodología MEHARI
FASES SUB FASE ACTIVIDADES
Evaluación del contexto estratégico
3. MATRIZ DE COMAPARACION
Una vez se revisa las diferentes metodologías, se han aplicado en algunos casos específicos,
como el de la Fundación Universitaria Área Andina, siendo referente para la implementación
de un SGSI basado en la norma ISO 27001, dentro de la cual se exige realizar el análisis de
riesgos, lo que ha permitido contrastar algunas ventajas y desventajas
AMBIENTE
METO VENTAJAS DESVENTAJAS
S
OCTAVE
eso se puede desarrollar y aplicar por los 2. Utiliza muchos mucha documentación
mismos empleados de la organización, en procesos de análisis de riesgos, lo que
aplicando un equipo como roles específicos demanda mucho tiempo en la aplicación.
y multidisciplinario.
3. Involucra todo el personal de la 3. Se requiere de amplio conocimientos
empresa. técnicos o personas especializas en el
tema.
6
Análisis de Riesgos Informáticos 2019
herramienta de soporte.
compatibilidad con las normas internacional
ISO.
2. Es una herramienta de negociación y
arbitraje.
3. Es utilizada para múltiples finalidades y
procedimientos de seguridad.
empresas)
aplicación.
5. se acopla al cumplimiento estándar de la
norma ISO27001, ISO27005 y ISO31000
6. Herramienta de concientización para
involucrar a las partes involucradas(directivas,
usuarios y empleados)
7. posee una base de conocimiento que
describe tipo y entidades, métodos de ataque,
vulnerabilidades, objetivos y requerimientos de
seguridad.
7
Análisis de Riesgos Informáticos 2019
AMBIENTE
METO VENTAJAS DESVENTAJAS
S
1. el alcance es completo para el análisis 1. En su modelo no involucra los procesos,
de la gestión del riesgo. recursos, ni vulnerabilidades.
Gobierno y compañía grades comerciales y no comerciales pymes 2. Se encuentra completamente
2. Posee algunas falencia en el inventario
documentada para el análisis y gestión de
de políticas.
riesgos de amenazas y tipos de activos.
AMBIENTE
METO VENTAJAS DESVENTAJAS
S
1. Para su análisis de los riegos utiliza 1. Se enfoca solo en principio de integrada,
metodología de la investigación confidencialidad y disponibilidad olvidando
Gobierno organismos, empresas grandes y medianas,
compañía comerciales sin ánimo de lucro (Educación,
8
Análisis de Riesgos Informáticos 2019
AMBIENTE
METO VENTAJAS DESVENTAJAS
S
1. En su modelo no tiene contemplados los
Utilizadas por organizaciones gubernamentales y no
1. El costo es bajo relacionado con el
elementos como, los procesos, los activos
riesgo analizado y solventado la misma.
ni la dependencia.
2. Presenta un resumen de los
elementos claves de las pruebas de
seguridad técnica y las evaluación con
gubernamentales
CONCLUSIÓN
Es importante establecer una metodología de análisis de riesgos dentro de los SGSI, lo que
permitirá dar a conocer las debilidades y fortalezas con que cuenta una organización por cada
uno de sus activos informáticos; se logrará identificar y valorar los procesos más críticos del
negocio, con el propósito de evaluar el nivel de protección adecuado, determinar y evaluar las
amenazas y su grado de efectividad para hacer frente a los riesgos y calcular el nivel de los
mismos, de tal forma, que la organización conozca con detalle la probabilidad de materialización
de cada una de las amenazas y el impacto que estas pueden ocasionar.
9
Análisis de Riesgos Informáticos 2019
Cada una de las metodologías anteriormente expuestas ofrece un método sistematizado para
identificar y analizar los riesgos, además de planificar las medidas necesarias para reducirlos y
brindan herramientas que faciliten su análisis.
Las metodologías Octave, Magerit, Mehari, NIST SP 800 y Ebios poseen sus propias
características y se complementan entre sí, lo que les permite, a su vez, combinar otros
enfoques que hacen el proceso de análisis y gestión de los riesgos más robusto y eficiente.
BIBLIOGRAFÍA
C. Cerra, ISO 31000:2009. Herramienta para evaluar la gestión de riesgo, Uruguay. [On Line].
Disponible en: http://www.isaca.org/chapters8/Montevideo/cigras/ Documents/cigras2011-
cserra-presentacion1%20 modo%20de%20compatibilidad.pdf.
M. Castro, El Nuevo Estándar para la Gestión del Riesgo. [On Line]. Disponible en:
http://www.surlatina.cl/contenidos/archivos_articulos/13-el%20 nuevo%20estandar%20iso
%20para%20la%20gestion%20del%20riesgo.pdf
E. José (2013, Septiembre), Octave, Metodología para el análisis de riesgos de TI, Periódico de los
universitarios Universo, [On line]. Disponible en:
http://www.uv.mx/universo/535/infgral/infgral_08.html
G. Camilo (2013, Mayo) Magerit: metodología práctica para gestionar riesgos, welivesecurity en
español [On line]. Disponible en: http://www.welivesecurity. com/la-es/2013/05/14/magerit-
metodologia-practicapara-gestionar-riesgos/
NIST, information security, national Institute of Standards and Technology [On line]. Disponible
en: http:// csrc.nist.gov/publications/nistpubs/800-30-rev1/ sp800_30_r1.pdf
10