Analisis de Gestión De Riesgos

Bryan Suarez

Cesar Rodriguez

Mauricio Hernandez

Intructor : Luis Francisco Lopez Urrea

Analisis De Riesgos Informaticos

Facultad Ingenieria De Sistemas

Bogota D.C

2021
 Introducción

La Seguridad Informática en una empresa es fundamental para evitar intrusiones y accesos

inesperados a documentación confidencial que podría comprometer nuestra imagen

corporativa y en los peores casos, provocar grandes pérdidas económicas. Por ello es

fundamental que nuestra entidad cuente con equipos informáticos seguros, para lo cual es

fundamental analizar las amenazas y vulnerabilidades a los que estamos sometidos y el nivel

de riesgo que ello implica. Para ello, existen métodos de análisis eficaces, que nos facilitan la

tarea de combatir a atacantes que quieren atentar contra la privacidad de nuestros datos.

Implementar un sistema efectivo de Gestión de Seguridad de la Información es una tarea tan

ardua como fundamental. Administrar la información al interior de su organización no sólo le

permite asegurar la confidencialidad, integridad y disponibilidad de los activos de

información, sino que también le garantiza minimizar los riesgos de seguridad de la

información.
 ISO 27001:2013

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan.

Esta norma ha sido elaborada para brindar un modelo para el establecimiento,

implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de
gestión de la seguridad de la información (SGSI). 
 El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la
Información permite a las organizaciones la evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o eliminarlos.
 La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora
la competitividad y la imagen de una organización.
 La Gestión de la Seguridad de la Información se complementa con las buenas
prácticas o controles establecidos en la norma ISO 27002.

ISO 27001 esta norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar”

(PHVA), que se aplica para estructurar todos los procesos del SGSI.

Modelo PHVA aplicado a los procesos de SGSI

 NIST SP 800-30

El método de análisis de riesgos NIST SP 800-30. Este método nació en el seno del National

Institute of Standard Technology (Instituto Nacional de Estándares y Tecnología), agencia

federal fundada en 1901 para la Administración de Tecnología de Departamento de Comercio

de los Estados Unidos.

La norma ISO 27001 es un estándar internacional para la gestión de la seguridad de la

información, proporciona diferentes objetivos de control y cubren una amplia gama de

problemas de seguridad de control. Pero, la norma ISO 27001 debe tener en cuenta que una

empresa puede ir más allá de los controles de la norma para establecer los niveles de

seguridad adecuados, mediante el desarrollo de las propias soluciones o utilizando otras

fuentes de conocimiento.
La norma NIST SP 800-30 nace con los siguientes objetivos:

 Aseguramiento de los sistemas de Información que almacenan, procesan y transmiten

información.

 Gestión de Riesgos

 Optimizar la administración de Riesgos a partir del resultado en el análisis de riesgos.

 Proteger las habilidades de la organización para alcanzar su misión (no solamente

relacionada a la IT, sino de toda la empresa)

 Ser una función esencial de la administración (no solo limitada a funciones técnicas

de IT)

El primer componente de la gestión de riesgos direcciona crear el marco de riesgo de las

organizaciones, a establecer un contexto que el riesgo que se describe el entorno en el que se

toman las decisiones. El propósito del componente es producir una estrategia de gestión de

riesgos que aborda cómo las organizaciones tienen la intención de evaluar el riesgo,

responder a los riesgos y monitorear los riesgos haciendo explicito y transparente la

percepción que las organizaciones utilizan permanentemente en la toma de decisiones e

inversiones operativas.
El proceso de analisis de riesgos con la metodologia Nist 800-30 se define en este grafico.

“Recuperado de : https://pamela7913.wixsite.com/sgsi/d0”

Fases de gestión de riesgos

•Priorización de acciones. A partir de los diferentes niveles de riesgo que hemos comentado
anteriormente y del informe de evaluación de riesgos se procederá a realizar un Ranking de
acciones a llevar a cabo en la empresa. 

•Evaluación de operaciones de control recomendados. Analizar su viabilidad y eficacia,

además de la adecuación a nuestro modo de trabajo para determinar si realmente pueden
enfrentarse a los riesgos. 

•Análisis de coste- beneficio. Conocer qué impacto supondría la implantación o no de los

controles sugeridos, además de los costes moderados. 

•Seleccionar los controles que nos ayudarían a eliminar los riesgos. Para evitar intrusiones en
la red tenemos que contemplar que controles utilizar: firewalls, cambio de contraseñas o
actualización del firewalls. 
•Asignación de responsabilidades. Seleccionar qué persona, o grupo de personas son las
encargados de llevar un control sobre los controles seleccionados. 

•Desarrollo del plan de implementación de salvaguardas.

“Recuperado: https://www.adapting.com/iso-27001-la-norma-de-la-seguridad-de-la-

informacion/”
 Conclusiones 

 La norma ISO 27001 es un estándar internacional para la gestión de la seguridad de la

información, proporciona diferentes objetivos de control y cubren una amplia gama
de problemas de seguridad de control. Pero, la norma ISO 27001 debe tener en
cuenta que una empresa puede ir más allá de los controles de la norma para
establecer los niveles de seguridad adecuados, mediante el desarrollo de las propias
soluciones o utilizando otras fuentes de conocimiento.

 
 Al igual de la serie de normas ISO 27000, la serie SP 800 proporciona información
que cubre la gestión y las prácticas operativas de seguridad de la información, pero
en un mayor número de documentos. Para facilitar una guía específica para realizar
la integración de la gestión de riesgos de seguridad de la información con las
operaciones de la empresa, la serie SP NIST 800 tiene el documento SP 800-39-
Gestión de Riesgos de Seguridad. 
 La norma hizo 27001 es uno de los mejores estándar para aplicar en las empresas ya
que consta de metologias para la seguridad de la información asi como un buen paso
a paso para realizar un buen análisis de riesgo, es importante tener en cuenta que la
metologia 800-30 es un método de 3 pasos el cual nos permite determinar el nivel de
amenaza potencial y sus riesgos asociados con un sistema.
 La metodología NIST SP800-30 está compuesta por nueve fases:  

1. Caracterización del sistema: nos permite establecer el alcance y los límites

operacionales de la evaluación de riesgos en la empresa.

2. Identificación de amenazas: es donde se definen las diferentes fuentes de motivación

de las mismas. Para ello, deberíamos revisar el historial de ataques, datos de
agencias de inteligencia, datos de medios de comunicación.  Aquí buscaríamos
introducción de virus en los sistemas, corrupción de datos o incumplimientos legales
intencionados.

3. Identificación de vulnerabilidades: para su identificación se desarrolla una lista de

defectos o debilidades para conocer las posibles intrusiones de una amenaza. Un
ejemplo puede ser: personal sin la adecuada información, la inexistencia de software
antivirus, falta de políticas de restricciones de personal para uso de licencias de
software.

4. Análisis de controles:  analizar controles actuales y controles planificados, además de

elaborar la lista correspondiente. Para entenderlo mejor, un ejemplo de esto puede
ser: el control del número de personas que tiene acceso al equipo informático
 diariamente, registro de información confidencial para la que se requiere uso de
contraseñas, etc.

5. Determinación de probabilidades. Conocer a través del estudio cuales son las

motivaciones para los ataques, capacidad de las amenazas, naturaleza de las
vulnerabilidades… así podemos elaborar el ranking de probabilidades de que
materialice la amenaza.

6. Análisis del impacto.  En dicha fase de determinación del riesgo, se pretende evaluar
el riesgo real en el sistema de información, recomendaciones de control donde se
proporcione qué controles se podrían mitigar el riesgo identificado disminuyendo
hasta un nivel aceptable.

7. Determinación del riesgo. Para hacer un plan completo debemos conocer qué
probabilidad de explotación de las amenazas, magnitud de los impactos, adecuación
de los controles actuales y planificados nos podemos encontrar. Con dicho análisis
estableceremos qué nivel de riesgo tiene la organización pudiendo ser: bajo, medio o
alto.

8. Recomendación de controles. Para tener nuestro sistema seguro debemos realizar

revisiones de las políticas de seguridad, actualizaciones periódicas del antivirus, un
cambio de contraseñas periódicas, instalación de firewalls o en caso de
incumplimiento de la normativa vigente, sanciones.

9. Documentación de resultados: Según los riesgos de la organización proceder a la

elaboración de un informe detallado de valoración de los riesgos.

Link de la WIKI: https://sites.google.com/estudiantes.areandina.edu.co/analisis-

gestionderiesgos/inicio