DESARROLLO ACTIVIDAD EVALUATIVA EJE 2

ANÁLISIS DE RIESGOS INFORMÁTICOS

Presentado a:

Presentado por:

Ingeniería de Sistemas
Colombia
2020
 INTRODUCCIÓN

Hoy en día encontramos que entre los bienes más preciados para una organización
está la información que se encuentra almacenada de manera digital, la cual es de vital
importancia garantizar su buen estado, es por ello que riesgo informático es absoluto
para todas las organizaciones, ya que esta es la vulnerabilidad o amenazas, a que
ocurra algún tipo de evento cuyos efectos sean negativos y que alguien o algo puedan
verse afectados por él y la responsabilidad de este recae en el personal encargado de
la seguridad informática dentro de la organización. Dicho esto el presente documento
tiene como objetivo el desarrollo de una WIKI, con el objetivo de presentar un análisis
que nos permita reflejar la importancia de implementar dentro de una organización la
norma técnica ISO 27001:2013, la cual establece criterios y fija aspectos para
garantizar la seguridad informática dentro de una organización, a su vez encontramos la
norma ISO 31000:2018, la cual establece principios y directrices de carácter genérico
respecto a la gestión del riesgo en cualquier tipo de organización, de igual manera nos
encontramos con el método 300:80.

Para comprender mejor que es la materialización de un riesgo informático plantaremos

la siguiente pregunta ¿Qué pasaría por fuga de información se diera a conocer la receta
de la CocaCola?, su receta que ha sido resguardada por mucho tiempo pasando de
generación en generación sería el fin de la popular marca ya que todos tendrían acceso
a ella lo mismo pasa con la información que una compañía pueda resguardar en sus
instalaciones. ¿Pero cómo defendernos de una amenaza tan real?, ya sea por una
exposición sencilla de los empleados de la empresa que pueden compartir sus
credenciales o ya sea por una catástrofe natural para esto tenemos el SGSI (Sistemas
de Gestión de Seguridad de la Información), la cual nos brinda una visión sobre cómo
definir nuestra política de prevención y cómo atacar los riesgos y amenazas que
podamos tener. Para soportar nuestro Sistema de Gestión de Seguridad de la
Información nos podemos avalar en la norma ISO 27001:2013 y en la Metodología de
Gestión de Riesgo NIST 800-30, que nos permitirá realizar analizar los posibles riesgos
que tenemos dentro de nuestras compañías o aquellos que a primera vista parecen
inofensivos pueden convertirse en un peligro latente.
Nombre del taller:

Medidas desesperadas

Objetivo de aprendizaje:

Establecer relaciones entre los diferentes elementos que se deben tener en cuenta para
hacer la evaluación de riesgos en un sistema informático.

Descripción del taller:

Esta actividad busca que los integrantes del grupo desarrollen un documento de trabajo
a través de herramientas colaborativas, en este caso una wiki. El resultado debe ser
una síntesis de los elementos relacionados con el análisis y evaluación de riesgos a
partir de los temas explicados en el referente y la exploración de sitios web
relacionados.

DESARROLLO ACTIVIDAD EVALUATIVA

Siguiendo las instrucciones dadas en las descripciones del taller y con la finalidad de
aplicar nuestro conocimiento y desarrollar habilidades para establecer las relaciones
existentes entre los diversos criterios y aspectos para efectuar un correcto análisis y
evaluación de los riesgos que se puedan presentar en un sistema informático, y con el
objetivo de cumplir a cabalidad con el desarrollo temático correspondiente para el eje 2,
por parte de los integrantes del presente grupo se optó por la creación de un
documento en Google Docs
(https://docs.google.com/document/d/1c7ULM0wChclDcechpWrZPhse3 QXmrmrZ/edit),
con el nombre de ESTRUCTURA GENERAL DE LA WIKI, de igual manera se creó un
grupo de WhatsApp y de efectuaron conexiones por conferencia, con el fin identificar
nuestras fortalezas y asignar responsabilidades en la solución de la presente actividad
evaluativa, de igual manera generar un espacio de interacción donde cada uno de
nosotros planteábamos y resolvíamos nuestra dudas, no obstante cada uno de los
integrantes realizo su aporte para logra una síntesis de los elementos relacionados con
el análisis y evaluación de riesgos a partir de los temas explicados en el referente y la
exploración de sitios web relacionados.

Enlace de la Wiki:
https://sites.google.com/a/estudiantes.areandina.edu.co/analisis-metodo-800-30-
y-norma-tecnica-iso-27001-201/home

Criterios que se tuvieron encueta para la creación de la Wiki:

 ¿Cuál es el objetivo de la norma ISO 27000?
Esta norma ha sido estandarizada para la implementación de los requisitos de
establecer, mantener, implementar y dar mejora continua en un Sistema de Gestión
de la Seguridad de la Información. Este estándar hace exigencia que la
implementación de un Sistema de Gestión de la Seguridad de la Información dentro
de una organización tenga en cuenta en primera instancia su alcance, una vez se
sepa esto, se hace necesario la identificación de cada uno de los activos que hacen
parte del SGSI con su respectivo valor de adquisición o de operación, según sea el
caso estos valores permiten tasar el impacto de la afectación del activo sobre la
organización.
¿QUÉ ES UN SGSI?

Un Sistema de Gestión de la Seguridad de la

Información (SGSI) es un conjunto de políticas de
administración de la información. El término se denomina
en inglés «Information Security Management System»
(ISMS). El término SGSI es utilizado principalmente por
la ISO/IEC 27001, que es un estándar internacional
aprobado en octubre de 2005 por la International
Organization for Standardization y por la comisión
International Electrotechnical Commission.

¿COMO ENTENDER SU ¿COMO ENTENDER LAS “DETERMINAR EL

ORGANIZACIÓN Y NECESIDADES Y EXPECTATIVAS ALCANCE DEL SGSI”
CONTEXTO? DE LAS PARTES INTERESADAS?
Es muy importante identificar quienes
Con el SGSI es vital son nuestras partes interesadas Con el SGSI es vital
entender cuál es el internas y cuáles son sus necesidades entender cuál es el
modelo de negocio y el respecto a la seguridad. En este modelo de negocio y el
entorno que se va a entorno que se va a
sentido el alcance del SGSI puede o no
manejar. Se debe manejar. Se debe
cubrir todos los procesos de negocio de
considerar todo aquello considerar todo aquello
que pueda ser la Organización y en el caso de ser que pueda ser
condicionado para lograr sólo una parte, tendrá como partes condicionado para lograr
los resultados del SGSI. interesadas a otras áreas que serán los resultados del SGSI.
“clientes” de la seguridad.
 MÉTODO 800:30
El Objetivo del método 800:30 es
aseguramiento de los sistemas de
Información que almacenan, procesan y
transmiten información. Optimizando la
administración de riesgos a partir del
resultado en el análisis de riesgos,
protegiendo así las habilidades de la
organización para alcanzar su misión (no
solamente relacionada a la IT, sino de toda
la empresa).

PASOS EN EL PROCESO DE EVALUACIÓN DE RIESGOS

1. Proveer una base para el desarrollo de la gestión del riesgo
2. Proveer información acerca de controles de seguridad en función de la rentabilidad
del negocio
3. El segundo componente de la gestión de riesgos se ocupa de cómo las
organizaciones evalúan el riesgo en el contexto del “marco de riesgo” de la
organización. El objetivo del componente de la evaluación de riesgos es identificar:
4. las amenazas a las organizaciones (es decir, operaciones, activos o individuos) o
amenazas dirigidos a través de organizaciones en contra de otras organizaciones o
la Nación; las vulnerabilidades internas y externas a las organizaciones;
5. El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial de las
amenazas explotando vulnerabilidades; y
6. La probabilidad de que el daño se producirá. El resultado final es una determinación
del riesgo (es decir, por lo general en función del grado de daño y la probabilidad de
que se produzcan daños).
Características del método 800:30
Proporciona una visión general sobre la gestión de riesgos, conceptualización de
amenazas y riesgos, explica cómo encaja dentro del ciclo de vida de desarrollo de un
proyecto o programa así como los roles de las personas que soportan y utilizan este
proceso.
Describe la metodología de evaluación del riesgo y los 9 pasos primarios para dirigir una
evaluación de riesgos de un sistema de IT.
Describe el proceso de mitigación de riesgos, incluyendo estrategias de mitigación de
riesgos, enfoque a implementación y categorías de control, análisis coste-beneficios y
riesgos residuales.
Discute las buenas prácticas y la necesidad de evaluar la progresión de los riesgos, y los
factores que conducirán a un programa de gestión de riesgos exitoso. 
Conclusiones

Primeramente podemos evidenciar como se logró establecer las relaciones que existen
entre los diferentes elementos que se deben tener en cuenta para hacer la evaluación
de riesgos en un sistema informático.

Así mismo identificar que herramientas nos ayudan a generar nuestro Sistema de
Gestión de Seguridad de la Información, así mismo somos conscientes que pese a
todas herramientas o métodos de prevención que se nos mencionan en la metodología
o en la norma siempre existirá un riesgo mínimo de acuerdo a la implementación que se
decida por la empresa.

De igual forma debemos analizar qué tan grande puede ser nuestro nivel de impacto y
el periodo de medición que tendremos y con estos dos datos podemos definir una
escala de riesgo asignada a un valor numérico.

Por último también debemos que tener en cuenta la regulación y si se cuenta con
legislaciones vigentes, también tenemos que evaluar que tanto la implementación del
sistema de gestión afecta la operación de la operación.
Referencias

GoConqr. (2020). GoConqr - Metodología de Gestión de Riesgo NIST

800-30. [online] Available at:
https://www.goconqr.com/es/mindmap/3511863/metodolog-a-de-gesti-n-de-
riesgo-nist-800-30 [Accessed 3 Mar. 2020].

Hemeroteca.unad.edu.co. (2017). Vista de Metodologías para el

análisis de riesgos en los sgsi | Publicaciones e Investigación.
[online] Available at:
https://hemeroteca.unad.edu.co/index.php/publicaciones-e-
investigacion/article/view/1435/1874 [Accessed 3 Mar. 2020].

prezi.com. (2015). Metodología de Gestión de Riesgo NIST 800-30.

[online] Available at: https://prezi.com/p8moufe0ikyl/metodologia-de-
gestion-de-riesgo-nist-800-30/ [Accessed 3 Mar. 2020].